Story Transcript
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
REGLAMENTO PARA LA GESTION DE LA ACTIVIDAD DE TECNOLOGÍAS DE INFORMACIÓN.
CAPÍTULO I Disposiciones Generales Artículo 01.
Propósito del Reglamento
El Reglamento Para la Gestión de la Actividad de Tecnologías de Información del INCOP tiene como objetivo, orientar la gestión y uso de las tecnologías de información del Instituto Costarricense de Puertos del Pacífico en adelante denominado INCOP, con un adecuado apego a las Normas Técnicas para la Gestión y el Control ol de las Tecnologías de Información1, los derechos constitucionales: a la libertad de expresión, privacidad de las comunicaciones y propiedad intelectual además de un uso eficiente que garantice el máximo aprovechamiento de los recursos tecnológicos. Artículo 02.
Definiciones niciones Generales
Para los efectos de esta normativa se entenderá por: Activo Tecnológico: Computadoras (o estaciones de trabajo), impresoras, equipos de redes de computadoras, escáneres, ups, laptops, proyectores, periféricos, etc. Quedan excluidas las fotocopiadoras, faxes y demás dispositivos cuyas adquisiciones no hayan sido aprobadas por el CGTI. Administración Superior Superior:: Junta Directiva, Presidente Ejecutivo y Gerente General. 1
Emitido por la Contraloría General de la República, Rige a partir del 31 de julio del 2007.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
1
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Amenaza: es un evento que puede desencadenar un incidente en la organización, ón, produciendo daños materiales o pérdidas inmateriales en sus activos. Aplicación: Un programa informático que lleva a cabo una función con el objetivo de ayudar a un usuario a realizar una determinada actividad. WWW, FTP, correo electrónico y TELNET son ejemplos de aplicaciones en el ámbito de Internet. Autenticación: Proceso mediante el cual se comprueba que un usuario es quien dice ser. La autenticación requiere evidencia en forma de credenciales. La evidencia puede tener una o varias de estas formas: par de nombre de usuario y contraseña, tarjeta inteligente o certificado, autenticaciones biométricas, etc. CGTI: Comité Gerencial de Tecnologías de Información. Control de Acceso: Limitar el acceso autorizado solo a entidades autenticadas. Estación de Trabajo: En una red de computadoras,, una estación de trabajo (en inglés Workstation) es una computadora que facilita a los usuarios el acceso a los servidores y otros periféricos de la red, como impresoras, impresoras, etc. A diferencia de una computadora aislada, tiene una tarjeta de red y está físicamente conectada por medio de cables u otros medios –como como las tarjetas inalámbricas – a los demás equipos de d la red. Identidad del Usuario: Es el nombre con el que el sistema identifica a una persona, mediante el cual se perfilan los derechos del usuario dentro del sistema.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
2
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Identificación: Es el proceso donde un usuario, se identifica ante el sistema. Es decir, es el proceso de proporcionar un identificador único. Incidente: Cualquier evento que no sea parte de la operación normal de un servicio o recurso que ocasione, o pueda ocasionar, una a interrupción o una reducción de la calidad de ese servicio o recurso. Información Sensible: Información personal privada de un individuo, por ejemplo, datos personales y bancarios, contraseñas, correo electrónico e incluso el domicilio en algunos casos. En el caso de INCOP, puede designar como información sensible la que por la naturaleza del contexto, se le atribuya esta clasificación. Otros datos sensibles o privados, son los relacionados con Internet, Internet sobre todo contraseñas, conexión a Internet, IP privadas, s, sesiones del PC, etc. Componentes Internos del Computador: Computador: Se entiende por componentes internos, dispositivos tales como: tarjetas de red, unidad central de proceso (C.P.U.), tarjeta madre, tarjetas de memoria, disco duro, f fuente uente de poder, unidad de diskette, unidad de CD/DVD, etc. Contraseña o Clave: (En inglés password), es una forma de autenticación que utiliza información secreta para controlar el acceso hacia algún recurso, por lo cual, cual, debe mantenerse en secreto. Credenciales: Las credenciales son el conjunto de elementos que utiliza un usuario para probar su identidad. Un ejemplo habitual de conjunto de credenciales es el nombre de usuario y la contraseña.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
3
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
DTII: Departamento de Tecnologías Tecnologías de Información de INCOP. Malware: (Proviene del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en o dañar un una computadora sin el conocimiento de su dueño y con finalidades muy diversas versas ya que en esta categoría encontramos desde un troyano hasta un spyware. Privacidad: La privacidad rivacidad consiste en garantizar la confidencialidad de los datos para que no puedan ser visualizados por usuarios malintencionados con software de supervisión de la red. La privacidad suele proporcionarse mediante el cifrado. Internet: Red informática para para negocios y entretenimiento. También se le llama “ciberespacio”. Es la red de comunicación mediante redes a nivel mundial (W.W.W.). Conjunto de servidores interconectados electrónicamente, distribuidos en todo el mundo de manera que permiten compartir información información y recursos. Intranet: Red privada que se basa en las mismas tecnologías que Internet, pero restringida para el uso de un grupo de usuarios específico; por ejemplo, usuarios de una organización, de un edificio o de un conjunto de oficinas. Marco de Seguridad: Conjunto de normativas, disposiciones, políticas, recomendaciones, restricciones, procedimientos, medidas, controles, etc., orientados a proveer seguridad física y lógica a los recursos tecnológicos de la institución. Plataforma Tecnológica: Conjunto de componentes tecnológicos que en conjunto proveen los servicios informáticos utilizados en
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
4
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
la institución: hardware, software, utilitarios, redes, sistemas, bases de datos, correo, Internet, aplicaciones, etc. Recurso informático: Son los componentes o dispositivos tanto de equipo electrónico (hardware), como de programas (software) que permiten a una persona interactuar directa o indirectamente con la información; ya sea leerla, copiarla, moverla, transmitirla, escucharla o visualizarla. izarla. Seguridad Física: Aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Seguridad Lógica: aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Sistema Informático: Es una combinación de hardware y software que da una solución a un problema de negocios. Se encarga del manejo de la información en una computadora, a través de la cual el usuario controla las operaciones de entrada de datos, el sistema los procesa y produce salidas como reportes en pantalla, en papel y otros tipos de salidas. Sitio Web: Punto de la red con una dirección única y al que pueden acceder los usuarios para obtener información. Software (o programas): La palabra «software» se refiere al equipamiento lógico o soporte lógico de un computador digital, comprende el conjunto de los componentes lógicos necesarios Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
5
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
para hacer posible la realización de una tarea específica, en contraposición a los componentes físicos del sistema (hardware (hardware). Spyware: Los programas espías o spywares son aplicaciones que recopilan información sobre una persona u organización organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar re información contra sospechosos de delitos, como en el caso de la piratería de software.
Stakeholders: En el área de Gestión de Proyectos, los Stakeholders son partidos interesados, son individuos, organizaciones, entidades, áreas, etc., que están interesados interesados en el proyecto, o cuyos intereses pueden ser afectados positiva o negativamente como resultado de la ejecución del proyecto o de la terminación exitosa de este.
Superior
del
Área:
Empleado que forma parte de la Administración Activa que ejerce la la autoridad inmediata de un área o departamento específico. Tecnologías de Información (TI): Son un conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de vida de las personas dentro de un entorno, y que se integran a un sistema de información interconectado y complementario. Las TI comprenden los elementos básicos de Gestión, Cultura, Software, Hardware y Datos. Troyano: (Caballo de Troya, traducción literal del inglés Trojan horse aunque no tan utilizada) Es un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
6
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
recabar información o controlar remotamente a la máquina anfitriona. reglamento se Usuario Autorizado: Para los efectos de este reglamento, entenderá por usuario autorizado, aquella persona física titular de una Cuenta en el Dominio, y que para hacerse acreedor de la misma, haya sido solicitada por algún miembro de la administración activa. Virus: Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora,, sin el permiso o el conocimiento del usuario. Los virus, virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos. WWW (World Wide Web): Es un sistema de documentos de hipertexto y/o hipermedios enlazados y accesibles accesibles a través de Internet. Con un navegador Web, Web un usuario visualiza páginas web que pueden contener texto, texto imágenes, vídeos u otros contenidos multimedia,, y navega a través de ellas usando hiperenlaces. hiperenlaces Artículo 03.
Competencia del Máximo Jerarca
Es responsabilidad del Máximo Jerarca proveer los recursos presupuestarios requeridos para la implementación efectiva de este reglamento. Para lo cual, el DTII, deberá remitir la información precisa con las debidas justificaciones. Artículo 04.
Competencia de la Administración Administración Activa
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
7
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Es responsabilidad de la Administración Activa apoyar y promover en sus colaboradores, las actividades orientadas a cumplir con lo dispuesto en este reglamento. Artículo 05.
Competencia del DTII en la Gestión de las TI
Corresponde al Departamento de Tecnologías Tecnologías de Información con el apoyo inherente del Máximo Jerarca, el CGTI y de la Administración Activa del INCOP: a. Ejercer la autoridad técnica a nivel de tecnologías de información en la institución, lo cual implica, desde emitir criterios técnicos, hasta hasta determinar e implementar medidas que salvaguarden la integridad lógica de las tecnologías. La calidad de autoridad, le confiere la posibilidad de administrar con altos privilegios de acceso todas las tecnologías propiedad del INCOP.
b. De conformidad con el punto “A”, deberán garantizar el uso discrecional de las tecnologías, la confidencialidad de la información y el uso razonable y ético de la plataforma tecnológica.
c. Abocarse a la versión del Plan Estratégico de Tecnologías de Información y Comunicaciones Comunicaciones vigente en la institución.
d. Acatar las disposiciones que disponga el Comité Gerencial de Tecnologías de Información.
e. Recomendar al CGTI y a la Administración Activa del INCOP las acciones necesarias para la implementación Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
8
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
continua y efectiva de las Normas Normas Técnicas para la Gestión y Control de las Tecnologías de Información, emitidas por la Contraloría General de la República.
f. Implementar de las Normas Técnicas para la Gestión y Control de las Tecnologías de Información, emitidas por la Contraloría General neral de la República las disposiciones que sean de su directa competencia.
g. Proponer las políticas, estándares y procedimientos que en materia de tecnologías de información regirán en la Institución. Los entes autorizados dentro del INCOP aprobarán o no las las propuestas y las modificarán cuando lo consideren conveniente, no obstante, se salvaguarda la responsabilidad del Departamento de Tecnologías de Información en aquellos casos en que los entes decisorios no actúen y cuya inoperancia, conlleve a consecuencias consecuen nocivas para la plataforma tecnológica del INCOP. En situaciones calificadas relativas al funcionamiento operativo de la tecnología, el Departamento de TI decidirá los lineamientos que permitan solventar la problemática de manera oportuna.
h. Proponer, definir y/o modificar con base a los cambios que en materia de seguridad informática se den en el tiempo, políticas y recomendaciones de seguridad tanto lógicas como físicas en procura del resguardo de todos los componentes de la plataforma tecnológica del del INCOP.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
9
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
i. Apoyar con recursos internos el desarrollo y mantenimiento de una infraestructura tecnológica actualizada permitiendo el desarrollo oportuno de cada área funcional.
j. Complementar a través de servicios de “outsourcing”, la operación, el soporte técnico y el desarrollo de sistemas de información, bajo un modelo organizacional flexible.
k. Divulgar la importancia y la alta prioridad que posee el desarrollo de las tecnologí tecnologías as de Información como factor crítico de éxito, en el proceso de modernización institucional.
10 l. Introducir oportunamente, Tecnologías de Información que apoyen el servicio al cliente, a través de una evaluación continua y consistente.
m. Mejorar el servicio a los clientes internos y externos con la implementación de tecnologías y sistemas de vanguardia y de estándares de clase mundial.
Reconocimiento del Órgano Rector de Artículo 06. Tecnologías de Información Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Se reconoce que el Comité Gerencial de Tecnologías de Información, ormación, conocido como el C.G.T.I por sus siglas, es el órgano rector en materia tecnológica del INCOP. En virtud de lo anterior, toda decisión estratégica en el área tecnológica, deberá ser gestionada a través de ese órgano. Artículo 07. Plan Estratégico de Tecnologías Tecnologí de Información nformación y Comunicaciones a. El INCOP, deberá contar con un Plan Estratégico de Tecnologías de Información y Comunicaciones (PETIC) que responda efectivamente al apoyo de los objetivos estratégicos institucionales, que comprenda al menos, un Marco Estratégico tratégico para TI, un Modelo de Arquitectura, una cartera de Proyectos a realizarse en el mediano y corto plazo y un plan de capacitaciones técnicas tanto para usuarios finales como para usuarios técnicos. b. El PETIC, deberá ser revisado al menos una vez al al año para determinar el nivel de avance y la realización de posibles cambios, ampliaciones o adaptaciones producto de nuevas necesidades institucionales, tendencias tecnológicas y posibles modificaciones a la estrategia de crecimiento institucional.
c. Las revisiones anuales, deberán verificar la alineación del PETIC con la estrategia institucional para lo cual, se deberán documentar las razones que sustentan la alineación. En el caso de existir desviación, se deberán definir las medidas orientadas a subsana subsanarr la situación.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
11
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d. La revisión, podrá ser realizada a través de contratación o por personal de la institución. No obstante, de optarse por la segunda alternativa, la revisión deberá realizarla un grupo interdisciplinario con una representación razonable de todos odos los niveles de interés para INCOP.
e. El órgano rector de las TI del INCOP, deberá vigilar y materializar el cumplimiento de los puntos anteriormente descritos. Artículo 08.
Adquisiciones y/ o Actualizaciones de las TI
a. Le compete al DTII recomendar a la instancia correspondiente las tecnologías o soluciones informáticas que se deban adquirir. Las ampliaciones, modificaciones, actualizaciones o adquisiciones de tecnologías (hardware, software, sistemas, redes) se realizarán realizarán con base a las recomendaciones técnicas del DTII, incluso cuando se trate de accesorios para las tecnologías existentes. b. Toda adquisición de recurso tecnológico realizada a través de vale de Caja Chica o Solicitud de Compra, deberá contar con la aprobación ación y recomendación del DTII. c. El DTII, deberá al menos una vez al año, remitir al Jerarca, un diagnóstico de la Plataforma Tecnológica del INCOP. Este diagnóstico, deberá incluir las recomendaciones que garanticen un desempeño fiable de la plataforma, a apegado pegado a las necesidades institucionales. Artículo 09.
Uso de los Recursos Tecnológicos del INCOP
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
12
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
a. Queda entendido, que los recursos tecnológicos asignados
a los empleados lo serán en calidad de herramienta de trabajo y como tal, se encuentran permanentemente bajo dominio nio y control del INCOP, sin perjuicio del derecho a la privacidad de la información almacenada y demás derechos fundamentales establecidos por la normativa que corresponda. b. Es responsabilidad del usuario, acatar las disposiciones estipuladas en el marco de seguridad institucional de las TI, en su haber: Memorando de Responsabilidades del
Usuario con Respecto al Uso de la Plataforma Tecnológica del INCOP –documento documento que se entrega cuando al usuario se le asignan recursos tecnológicos para la realización de las tareas a su cargo-, Memorando de Responsabilidades del Usuario con Respecto al Uso de los Sistemas de Información del INCOP –documento documento que se entrega cuando al usuario se le asignan privilegios de acceso a los Sistemas, las políticas oficiales y demás medidas que el DTII implemente y recomiende. Si el usuario no acepta acatar el marco de seguridad vigente, no podrá hacer uso de la plataforma tecnológica. CAPÍTULO II Derechos y Responsabilidades de los Usuarios de las TI Artículo 10.
Cuentas de Usuario
a. Las cuentas de usuario, son el mecanismo de identificación y autenticación con el cual, se autoriza a una persona física para que haga uso de la plataforma tecnológica del INCOP.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
13
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. Las cuentas de usuario, son a título personal y por lo tanto son INTRANSFER INTRANSFERIBLES. El DTII, creará y asignará cuentas de usuario en el tanto éstos, respeten las disposiciones del artículo 17 de esta normativa. c. Tendrán derecho a Cuenta de usuarios, aquellos empleados del INCOP que realicen su trabajo haciendo uso de estaciones de trabajo. La creación de las cuentas, está definida en el Artículo 12 de este reglamento. d. Personal bajo la modalidad de contrato, tendrá derecho a una cuenta de usuario sí y sólo sí, su trabajo debe realizarlo haciendo uso de las TI y, si en el contrato se s pactó la asignación de recurso tecnológico.
e. Cada usuario responderá por las acciones que se reporten utilizando su cuenta.
Artículo 11.
Contraseña o Clave
a. Las claves de acceso definidas por el usuario, son de uso exclusivamente personal, no se autoriza la revelación a terceros ni en forma temporal ni permanente. b. La clave de acceso en poder del usuario, corresponde a su firma electrónica incorporada en todo mensaje y garantiza al receptor la identidad del remitente. c. Es deber de la Administración Admin Activa comunicar en forma inmediata al DTII sobre cualquier movimiento de personal Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
14
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
que implique cambios en las cuentas de usuario (nuevas cuentas, cambios de credenciales o cancelaciones de cuentas, etc.). d. El departamento de Tecnologías de Información, Información, será la instancia técnica autorizada que delimitará los formatos de las claves que los usuarios podrán definir.
Artículo 12.
Solicitud de Cuentas de Usuario
a. El DTII, deberá definir el procedimiento por medio del cual, se llevará a cabo la creación de la solicitud de cuenta. b. Se autoriza a la Administración Activa solicitar al Departamento de TI la creación de cuentas de usuario. Para estos efectos, el Departamento de TI, tendrá la potestad de definir para las cuentas, los niveles de privilegios y la asignación asignación de los roles de seguridad que considere convenientes. c. El DTII, creará cuentas de usuario cuando haya recibido una solicitud –de conformidad con el procedimiento oficialde creación realizada por algún miembro de la Administración Activa. sos de creación de cuentas para personal bajo la d. En los casos modalidad de contrato, nombramiento interino, jornal, o cualquier trato laboral de carácter temporal, en la solicitud de creación de cuenta, el solicitante deberá especificar la Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
15
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
fecha de inicio del tratado y la fecha de su finalización. La fecha especificada como terminación, fungirá como fecha máxima de vigencia para la cuenta. En los casos de renovación de trato, se deberá volver a solicitar al DTII la habilitación de la cuenta con la nueva fecha de caducidad. caducid
e. Toda cuenta de usuario, quedará vigente cuando el titular de la misma, firme como acto de recibir a conformidad el memorando de Responsabilidades con Respecto al Uso de las TI del INCOP. En el caso de terceros, deberán firmar como acto de conformidad, el Acuerdo de Confidencialidad
y Uso de las TI propiedad del INCOP.
Artículo 13.
Eliminación de Cuentas de Usuario
a. Las cuentas de usuario a las que se le haya definido fecha de caducidad, pasarán a estado inactivo en la fecha definida. Transcurridos 2 meses calendario calendario sin que se haya solicitado renovación de cuenta, ésta será eliminada definitivamente.
b. En el caso de los funcionarios del INCOP a quienes se les otorgue permiso con o sin goce de salario o para aquellos que concluyen su relación laboral con la institució institución, el coordinador del Departamento de Capital Humano, de inmediato, deberá informarlo al DTII, con el fin de que las correspondientes cuentas de usuario, incluyendo el buzón de correo, sean temporalmente inhabilitadas o eliminadas, según corresponda. Artículo 14.
Inicios ios de Sesión
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
16
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
a. Los usuarios, podrán iniciar sesión única y exclusivamente
en los equipos que estén supeditados a su responsabilidad. En caso de requerir iniciar sesión en otros equipos de la misma área de trabajo, deberán hacerlo con el consentimiento del rresponsable esponsable del recurso. No se permite a los usuarios, iniciar sesión en equipos que no pertenezcan a su área de trabajo. En virtud de lo anterior, el DTII, podrá implementar los mecanismos que sean necesarios para controlar los inicios de sesión. b. El DTIII, podrá, por seguridad, delimitar los horarios de inicio de sesión para los usuarios. No obstante, la delimitación, no deberá interferir en la adecuada ejecución de las actividades institucionales.
Artículo 15.
Usos Personales
a.
No se permite a los usuarios, utilizar utilizar la plataforma tecnológica del INCOP para fines personales.
b.
Los consumibles, como tintas, discos, hojas, recursos tecnológicos como llaves maya, etc., son de uso laboral. Se prohíbe a los usuarios, cualquier uso de carácter personal.
c.
No se permite a los usuarios utilizar sistemas que no sean de propiedad INCOP, como por ejemplo, servidores Web personales, software sin licencia, etc.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
17
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d.
Donde INCOP disponga de redes inalámbricas, se le prohíbe al usuario realizar conexiones a redes que no sean propiedad de la institución.
e.
Se prohíbe a los empleados (personal de contrato inclusive) de INCOP hacer uso de recurso tecnológico de su propiedad dentro de la plataforma tecnológica de la institución. Es decir, se prohíbe en la plataforma tecnológica del INCOP el uso de laptops, computadoras de escritorio, teléfonos, dispositivos de música, DVD’s de películas, etc. propiedad de los empleados.
Artículo 16.
Derechos en Caso de Interrupción Laboral
a. Entiéndase interrupción laboral, aquellos casos donde un usuario de la plataforma, ataforma, cese la prestación de sus servicios laborales a la institución, sea por despido, renuncia, terminación de contrato, etc. b. No se permite que los usuarios en condición de interrupción laboral, recuperen datos cuyo único dueño es el INCOP. Así mismo, deberán velar por la integridad de esa información, jamás borrarla o alterarla. c. Para los casos donde haya interrupción laboral (sea personal de planta o en modalidad de contrato), el usuario, tendrá derecho a recuperar sus datos de carácter persona personal, para lo cual, se deberá respetar el punto “E”.
d. Para efectos de administración de cuentas de usuario, sus privilegios de acceso y vigencia, el Departamento de Capital Humano, deberá mantener informado al DTII sobre Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
18
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
cualquier cambio que se origine con llos os colaboradores de la institución. Estos cambios, pueden ser, pero no se limitan a: ingresos de personal, cambio de funciones, cambio en la ubicación organizacional, incapacidades, permisos con o sin goce de salario, suspensión, despido, muerte, etc. Lo anterior, nterior, con el propósito de que el DTII, realice las gestiones técnicas correspondientes sobre los datos, las cuentas de usuario, los sistemas y las tecnologías de información en general. Para los casos de personal en calidad de contrato, la instancia cor correspondiente, respondiente, deberá, mantener informado al DTII sobre todo acaecimiento con este tipo de colaborador.
e. El Departamento de Capital Humano, deberá ANTES del cese de labores, celebrar y liderar un Acto presenciado por el usuario, el superior del área y un pe personero rsonero del DTII donde se deberá realizar lo siguiente:
i. ii. iii. iv.
El usuario, deberá indicar los archivos de interés institucional. El superior de área, deberá indicar a qué locación deberán ser movidos los datos. El usuario, deberá indicar los archivos de carácte personal que desea recuperar. carácter El buzón de Correo, deberá ser accedido por el usuario e indicar qué correos son de interés institucional. Nuevamente, el superior de área, deberá indicar hacia qué locación moverlos, o, en su defecto, indicarle al usuario hacia hacia qué destinatario reenviar los correos.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
19
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
v. vi.
Artículo 17.
El DTII, deberá orientar los aspectos técnicos de los puntos anteriores. En el caso donde la actividad del punto IV no se celebre antes del cese de labores, el Departamento de Capital Humano, deberá coordinar par para realizar el acto. Responsabilidades de los Usuarios
Los usuarios de las tecnologías de información propiedad del INCOP tienen los siguientes deberes con respecto al uso de la plataforma tecnológica de la institución: a. Respetar y acatar OBLIGATORIAMENTE las políticas, reglamentos, recomendaciones y demás conformantes del marco de seguridad de las TI que el Departamento de Tecnologías de Información diseñare para efectos de resguardo de la plataforma tecnológica de la institución. b. Salvaguardar la confidencialidad de la contraseña o clave (Password) y abstenerse de facilitarla a terceros por ningún motivo. Cada usuario será responsable de las acciones que se reporten ejecutadas con su cuenta. En los casos de sustitución, se asignará al sustituto, un nombre de usuario y una contraseña o clave transitorias y nunca la correspondiente a la persona sustituida. c. El USUARIO, se compromete a resguardar los datos almacenados en estaciones de trabajos, servidores, bases de datos y demás medios de almacenamiento, almacenamient aplicando sólo prácticas comprobadas que no arriesguen la integridad de la información. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
20
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d. El USUARIO, deberá utilizar todas las herramientas tecnológicas que INCOP le confíe de una manera responsable, razonable, racional y ética; única y exclusivamente para para el cumplimiento del objetivo de sus funciones. El USUARIO se compromete y acuerda no utilizar la herramienta para fines particulares y/o ajenos a sus funciones. El USUARIO, se compromete a dar justificación concisa y consecuente sobre el uso las herramientas ientas asignadas. En virtud de lo anterior, el usuario deberá acatar los controles que el DTII sugiera en afán de controlar el uso. e. Generar sus propias contraseñas o claves (Password en inglés). Las conformará mediante el empleo de letras mayúsculas, minúsculas minúsculas y números según las especificaciones definidas por el Departamento de Tecnologías de Información. f. Abstenerse de utilizar los recursos informáticos de la institución para exhibir, copiar, mover, reproducir o manipular de cualquier otra forma, material material de contenido atentatorio contra la ética, la moral o las buenas costumbres. g. Notificar únicamente al Departamento de Tecnologías de Información en caso de sospechar la presencia de “virus” o cualquier otro software malicioso en el equipo computacional, quien valorará el caso y tomará las medidas pertinentes.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
21
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
h. Bloquear la estación de trabajo cada vez que deba ausentarse de su jornada ordinaria con el objetivo de impedir el uso del equipo por otros usuarios. i. Abstenerse en todo momento de remover, cambiar cambia o
intercambiar los componentes internos de los recursos informáticos y configurar o reconfigurar, programar o reprogramar e instalar o desinstalar programas (software) en los equipos de la Institución. Esto sin perjuicio de que el Departamento de Tecnología Tecnología de Información pueda autorizar expresamente a uno o varios usuarios de despachos para realizar estas labores.
j. Abstenerse de utilizar los recursos informáticos de la institución para realizar actividades personales o con fines lucrativos. k. Emplear únicamente icamente el equipo informático y programas (software) que se le haya asignado o tenga derecho a compartir.
l. Se prohíbe al usuario, modificar las configuraciones de los equipos, eliminar o instalar software y demás actividades que pudieren resultar perjudiciales perjudiciales para la plataforma tecnológica o que pudieren resultar en perjuicio legal para INCOP. m. Se prohíbe manipular bebidas, alimentos o diferentes sustancias en los lugares donde se encuentren equipos informáticos, para evitar causarles daño o deterioro por p causa de descuido o negligencia. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
22
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
o facilitar por cualquier medio, información propiedad del INCOP y que por su naturaleza
n. No
enviar, copiar
no deba divulgarse a terceros ajenos a la Institución. Lo anterior, excepto que se cuente con la debida autorización de la Gerencia General. o. No suprimir, modificar, borrar o alterar los medios de identificación de los equipos, o entorpecer de cualquier otra forma los controles que para fines de inventario se establezcan. p. Procurar
el mejor aprovechamiento del recurso de almacenamiento del equipo asignado o el disponible en la red, de forma que no se guarden archivos de cualquier tipo, ajenos a los fines e intereses de la institución.
lineamientos de seguridad que dicte el q. Aplicar todos los lineamientos DTII para evitar el ingreso de aplicaciones no deseadas (virus, gusanos, y otro software malicioso) a los sistemas informáticos institucionales. CAPÍTULO III De los Accesos a las TI Artículo 18.
Responsabilidades de los Empleados de INCOP
a. Los empleados2 del INCOP, deben estar vigilantes de los accesos abusivos que tanto terceros a la institución como empleados de la misma le den a los recursos conformantes
2
Aplica a TODOS los empleados de la institución. (Usuarios y NO usuarios de las TI)
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
23
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
de la Plataforma Tecnológica. De detectar anomalías, los empleados deberán informarlo al DTII. b. El DTII, deberá considerar esta información como confidencial y por lo tanto, no deberá comprometer al delator del abuso. Artículo 19.
Cuentas de Usuario con Máximos Privilegios
a. Sólo el DTII, tendrá acceso a la gestión de las cuentas con máximos Privilegios. La Juntaa Directiva, Presidencia Ejecutiva y Gerencia General podrán sugerir los privilegios que se otorguen a los usuarios. Las demás entidades del INCOP no podrán sugerir el uso de cuentas con estas calidades. Quedará a criterio exclusivo del DTII el uso que se le dé a este tipo de cuentas. b. El DTII, deberá implementar medidas de seguridad que garanticen la confidencialidad de las credenciales con calidades administrativas de máximos privilegios. Sobre este mismo orden, el DTII, no deberá revelar bajo ninguna circunstancia los valores de estas credenciales.
c. El DTII, deberá garantizar que las cuentas con Máximos Privilegios, son usadas de manera razonable y ética y para fines de gestión técnica de la plataforma. Artículo 20.
Accesos a las Tecnologías de Información
a. Todo recurso tecnológico, es asignado al menos a un usuario, y este, es el único autorizado para su uso. A través del Memorando de Responsabilidades del Usuario con respecto al Uso de la Plataforma Tecnológica, se le Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
24
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
determinarán y endosarán los compromisos que tendrá sobre las Tecnologías de Información a cargo. b. A excepción de personeros del DTII, los empleados de INCOP (de planta, contrato) que no sean los responsables de un equipo y que por intereses institucionales deban hacer uso del mismo, podrán hacerlo únicamente con el consentimiento del titular responsable.
c. El DTII, deberá implementar medidas que garanticen que los usuarios tengan acceso lógico sólo a los recursos asignados a su área de trabajo. En cuanto a los accesos físicos, los usuarios responsables de cada recurso deberán mantenerse vigilantes. d. No se permite bajo ninguna circunstancia que terceros ajenos a la institución, hagan uso de las Tecnologías de Información propiedad de INCOP. e. Los proveedores de servicios que requieran hacer uso de las TI propiedad de INCOP, deberán firmar un Acuerdo de Confidencialidad y Uso Adecuado de las TI propiedad del INCOP, y contar con la aprobación expresa del DTII y de las áreas interesadas. f. El DTII, tendrá acceso a la totalidad –incluyendo incluyendo los
datos- de las tecnologías de información propiedad de INCOP, lo anterior, para fines exclusivos de gestión técnica, apegados a una una conducta ética y respetuosa de los principios de confidencialidad y demás leyes de la Constitución Política de Costa Rica. En virtud de lo anterior, Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
25
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
podrá tomar decisiones orientadas al resguardo físico y lógico de los activos y/ o de conveniencia institucional. institucional. Toda tarea que el DTII ejecute, deberá informarla al usuario responsable.
Artículo 21. Acceso a los Recursos de TI por parte de Terceros a. Todo acceso a los recursos de la institución por parte de
un tercero deberá estar regulado y debidamente controlado por el DTII. Las regulaciones, deberán ser parte del Contrato de Confidencialidad que se pacte entre el INCOP y el contratado. b. En el caso de que el contratado tenga que acceder a datos sensibles como contraseñas, configuraciones, servidores y demás, el DTII deberá tomar las previsiones correspondientes para asegurar que posterior al uso, el proveedor no podrá utilizarlas para ningún fin. Artículo 22.
Acceso a Redes Inalámbricas
a. Las redes inalámbricas del INCOP son un servicio DTII pone a disposición de los usuarios, por únicamente pueden ser usadas de acuerdo con establece el Marco de Seguridad de las TI Institución.
que el lo que lo que de la
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
26
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. El DTII, deberá definir los puntos estratégicos dentro de las instalaciones propiedad de INCOP donde se podrán ubicar dispositivos de acceso inalámbrico. El DTII, deberá considerar la seguridad física en la ubicación de los puntos de acceso inalámbrico y otros componentes de las redes inalámbricas. inalá
c. La gestión técnica de los dispositivos de conexión inalámbrica podrá ser ejecutada sólo por el DTII. d. Los dispositivos inalámbricos, podrán ser movilizados o manipulados únicamente por personal del DTII.
27 e. La administración Activa, puede solicitarle rle al DTII, la instalación de un dispositivo de acceso inalámbrico. El DTII, deberá analizar la solicitud, los aspectos técnicos-operativos operativos del equipo necesarios para la implementación. f. El DTII, podrá utilizar los dispositivos de conexión inalámbrica según gún necesidades institucionales, aspectos técnicos y demás razones debidamente justificadas, sin que tenga que consultársele al responsable de la integridad física del dispositivo o al área que haya gestionado la adquisición del aparato. i las medidas de seguridad que g. El DTII, deberá implementar garanticen que las redes inalámbricas disponibles sean accedidas sólo por usuarios autorizados por el DTII.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
h. Los usuarios que hagan uso de las redes inalámbricas, sean empleados de INCOP, personal bajo la modalidad d de contrato y otros, deberán acatar las disposiciones que el DTII determine para el uso de este tipo de comunicación.
Artículo 23.
Acceso a Internet por parte de Terceros
a. Se autorizará el uso de Internet a un tercero a la institución sí y sólo sí, un miembro de la Administración Activa, lo solicita ante el DTII, asumiendo la corresponsabilidad del uso que se le dé al servicio. b. El tercero autorizado, deberá sujetarse a las medidas de control de acceso a Internet que el DTII tenga implementado. Por ninguna razón, se realizarán excepciones. Artículo 24.
Acceso al DTII y al Centro de Datos
a. El DTII, se considera un área restringida, por lo que el ingreso se realizará sólo con el consentimiento de algún personero de esa instancia técnica. Es prohibido permanecer en el área de Centro de Datos sin la presencia de un personero del DTII. b. El DTII, deberá mantener una adecuada señalización de las áreas, indicando áreas críticas y prohibiciones de ingreso. está autorizados a ingresar al c. Sólo personeros del DTII, están Centro de Datos. Terceros ajenos a la actividad de esa instancia técnica, podrán hacerlo acompañados de un personero del DTII. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
28
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d. Todo ingreso tanto al DTII como al Centro de Datos, deberá ser supervisado través de un estricto control, control, que deniegue el acceso a personas no autorizadas, y registre además cada ingreso a las áreas. Artículo 25.
Acceso a las Bases de Datos
a. La administración de las bases de datos será responsabilidad total del DTII. Este, deberá implementará las medidas de seguridad que garanticen que éstas serán accedidas sólo por personeros del DTII debidamente autorizados. En virtud de lo anterior, deberán mantener un control estricto de las claves de acceso y de las cuentas de usuarios.
29 b. El DTII, deberá implementar mecanismos que aseguren tanto la disponibilidad de los datos, como la confidencialidad de los mismos y su integridad.
c. Los personeros del DTII, podrán acceder a las bases de datos sólo para fines de administración y mantenimiento.
d. Se prohíbe al DTII, hacer consultas a los datos que no tengan como fin único, la realización de alguna actividad laboral.
e. Los datos de los repositorios, no podrán ser revelados, ni cedidos bajo ninguna calidad, a ningún ente interno o externo a la institución. De existir las autorizaciones para p revelación o entrega de datos, las mismas, DEBERÁN
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
respetar los principios constitucionales sobre privacidad de la información.
f. Todo indicio de robo de información, deberá ser notificado al área de Capital Humano y a la Gerencia General. Artículo 26. Acceso a los Datos Almacenados en las Estaciones de Trabajo a. Los datos contenidos en las estaciones de trabajo, se consideran de interés institucional, por lo tanto, con autorización expresa de la Gerencia General, el DTII podrá acceder los archivos de cualquier estación estación de trabajo y manipularlos de acuerdo a las necesidades. b. El DTII, no está autorizado a abrir documentos para los que no cuente con la debida autorización por parte de los creadores de los datos o dueños de la información o en su defecto, con la autorizac autorización ión expresa de la Gerencia General.
c. Una vez concluida la relación laboral de los empleados con INCOP, éstos, no podrán acceder a sus archivos personales almacenados en las tecnologías de información propiedad de INCOP. De igual manera, aplica para personal personal bajo la modalidad de Contrato. Artículo 27.
Acceso a los Buzones de Correo Electrónico
a. Los buzones de correo electrónico, serán accedidos sólo por el titular de la cuenta. A excepción de que exista Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
30
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
autorización expresa del titular, el buzón podrá ser accedido por un tercero. b. El DTII, podrá acceder a los buzones, sólo para fines técnicos sí y sólo sí existe autorización expresa del titular de la cuenta.
c. En casos de fuerza mayor, con justificaciones verificables, se podrá acceder a la información de los buzones sólo con la autorización de la Gerencia General, asumiendo esta, las posibles implicaciones legales por violación a la privacidad de la información. d. Ni los archivos tipo “PST”, ni los buzones, podrán ser configurados de tal manera que sean accedidos por buzones alternos, de cuentas no titulares. Lo anterior, porque constituye un irrespeto a la privacidad del individuo.
CAPÍTULO IV Mantenimiento de la Plataforma Tecnológica del INCOP Artículo 28.
Disponibilidad de la Plataforma Tecnológica
a. El DTII, deberá orientar sus esfuerzos a garantizar la disponibilidad de la plataforma tecnológica compuesta por: Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
31
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Red de datos, comunicación en puntos remotos, sistemas, bases de datos, información, aplicaciones, servicios de comunicación como Internet, Correo Electrónico, accesos lógicos, icos, página Web, hardware, servicios de soporte a usuarios, y demás. b. El DTII, deberá mantener una vigilancia constante de las amenazas y vulnerabilidades que puedan atentar contra la adecuada operación de la plataforma, deberá establecer e implementar medidas didas preventivas. Artículo 29. Evaluación Periódica del Estado de la Plataforma Tecnológica El DTII, una vez al año, deberá remitir al Máximo Jerarca, un diagnóstico de la plataforma tecnológica del INCOP. El mismo, deberá advertir los riesgos a los que se encuentra expuesta expuesta la plataforma, –si existiesen-,, sus impactos y las posibles medidas requeridas para mantener la plataforma en condiciones de funcionamiento idóneas. Artículo 30.
Mantenimiento de la Plataforma Tecnológica
a. El Departamento de TI, deberá definir un Plan de Mantenimiento miento Lógico y Físico Anual para la plataforma tecnológica de la institución. b. El mantenimiento físico y lógico de la plataforma tecnológica, podrá ser realizado por el DTII o mediante contratación. c. El mantenimiento lógico, se realizará tantas veces el DTII lo considere necesario. Debe realizarse como mínimo 3 veces al año. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
32
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d. La ejecución del mantenimiento preventivo al hardware, estará sujeto a criterio técnico de la competencia correspondiente del DTII.
e. Queda estrictamente prohibido dar mantenimiento a equipos de cómputo que no sean propiedad de la institución.
f. Es responsabilidad del DTII, dar aviso oportuno a las diferentes instancias, de cuándo serán realizadas las actividades de mantenimiento. Es responsabilidad de los usuarios, organizar su trabajo con el objetivo de no entorpecer las actividades de mantenimiento mantenimiento que el DTII realizará.
g. El mantenimiento lógico debe cumplir con los siguientes aspectos:
a. En estaciones de trabajo: i. Que las estaciones de trabajo cuenten con las actualizaciones de software más recientes y las configuraciones lógicas estándar definidas por el Departamento de TI. ii. Que se revise el estado de seguridad lógica de las estaciones de trabajo y se realicen las debidas correcciones. iii. Desinstalar aplicaciones no autorizadas o que no cuenten con el licenciamiento correspondiente propiedad de INCOP. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
33
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
iv. Realizar un inventario lógico de las configuraciones de las estaciones de trabajo.
v. Realizar el mantenimiento preventivo correspondiente.
de
hardware
b. En Equipos Servidores y Redes i. Realizar el mantenimiento preventivo de hardware preventivo correspondiente. cor ii. Que los nodos, cuenten con las actualizaciones de software más recientes y las configuraciones optimizadas. iii. Que se revise el estado de la seguridad lógica de los servidores y se realicen las debidas correcciones.
c. Impresoras y otros i. Realizar el mantenimiento de hardware preventivo aplicable al tipo de dispositivo. Artículo 31.
Medidas de Seguridad
a. El DTII, deberá implementar medidas de seguridad, orientadas a procurar el resguardo lógico y físico de la plataforma tecnológica del INCOP. seguridad, deben ser divulgadas por el b. Las medidas de seguridad, DTII entre la comunidad de usuarios, deberá mantenerlas publicadas, de manera, que los usuarios y demás interesados, puedan accederlas cuando las requieran. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
34
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
c. Es obligación de los usuarios de la plataforma, aplicar sin excepción, cepción, las medidas que el DTII defina.
d. La Administración Activa, debe velar por el acatamiento de las medidas y denunciar ante el DTII, los incumplimientos cometidos por parte del personal a su cargo. Artículo 32.
Programas Antivirus y Software de Seguridad
a. El DTII, velará porque todo recurso computacional en el momento de la entrega al usuario, tenga instalado, vigente y actualizado un sistema antivirus. Así mismo, velará por que el software tenga la mejor configuración en función de seguridad y rendimiento. b. Será responsabilidad esponsabilidad del usuario, mantenerse vigilante de que su programa antivirus esté instalado, vigente y actualizado además de mantener las configuraciones originales hechas por el Departamento de TI. de c. El departamento de TI, deberá informar a la comunidad d usuarios, los pasos a seguir para verificar que su sistema antivirus está instalado, vigente y actualizado además de mantener las configuraciones originales. d. Sobre este mismo orden TI instruirá al usuario en la forma de realizar los análisis además de dar las recomendaciones en caso de que el sistema antivirus detecte la presencia de virus.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
35
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
e. Será responsabilidad del usuario realizar un análisis en busca de virus al menos una vez a la semana. En caso de desconocer la forma de realizar la tarea, podrá solicitar solicitar al Departamento de Tecnologías de Información una orientación y este deberá responder oportunamente a la solicitud. Artículo 33. Seguridad en el Mantenimiento de las TI por parte de Terceros a. El DTII, deberá incorporar en los términos de referencia para la contratación tación de mantenimientos, un apartado donde el proveedor, conozca las medidas de seguridad que deberá aplicar en la ejecución de los mantenimientos. Así mismo, se deberá aclarar al adjudicatario, que deberá respetar las medidas de seguridad que el DTII sug sugiera durante la ejecución del mantenimiento. b. Las medidas de seguridad no estipuladas de previo a la contratación, no deberán perjudicar económicamente al contratado. c. El DTII, deberá definir claramente en los términos de referencia, las responsabilidades del proveedor con respecto a mantener la integridad física y lógica de la plataforma tecnológica objeto de mantenimiento por parte del contratado.
d. Los términos de referencia, para la contratación de los servicios de mantenimiento, deberán definir ampliamente ampliame las responsabilidades de los terceros en caso de errores
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
36
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
u ocurrencia de incidentes (producidas por el contratado) durante la prestación del servicio. e. El DTII, deberá para cada Servicio de Mantenimiento, especificar en los Términos de Referencia, los controles a implementar con el objetivo de resguardar los activos tecnológicos y los datos ante un mal uso por parte del tercero.
CAPÍTULO V De la Gestión del Hardware Artículo 34.
Responsabilidad de la Administración Activa
Corresponde a la Administración Activa, velar por que se dé un uso racional y adecuado a los recursos informáticos del INCOP asignados al área de su autoridad. En el caso de que se presente cualquier hecho o situación que irrespete el marco de seguridad de tecnologías de Información, deberá informarlo al DTII. Artículo 35.
Gestión Técnica del Hardware
Corresponde únicamente al personal del Departamento de Tecnologías de Información abrir, configurar o reconfigurar, programar o reprogramar e instalar o desinstalar programas progra (software) en los equipos propiedad del INCOP. Asimismo, los componentes internos de los equipos informáticos solamente pueden ser removidos, cambiados o intercambiados por el personal de ese Departamento. Si estas tareas son realizadas realiza por terceros, deberán contar con la debida autorización y fiscalización del DTII.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
37
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Artículo 36.
Control de Inventarios
Es responsabilidad del Departamento de Contabilidad velar por que todos los recursos tecnológicos se encuentren debidamente identificados e inventariados con la documentación documentación correspondiente. Será responsabilidad del Departamento de Tecnologías de Información, mantener un inventario de las configuraciones originales y un registro de todos los cambios sufridos en las configuraciones de los recursos tecnológicos propiedad del INCOP. Artículo 37.
Control de Pólizas
Será responsabilidad del DTII solicitarle al Departamento de Tesorería, gestionar ante el ente externo correspondiente las pólizas para los activos tecnológicos del INCOP. El DTII, deberá remitir el listado de equipos a asegurar asegurar con la información que el asegurador solicite. Para efectos de costes de adquisición, facturas, etc., el Departamento de Contabilidad, deberá remitirle al DTII la documentación fehaciente que corresponda. El DTII deberá mantener un registro del histórico histórico de las pólizas de los activos, las coberturas y la vigencia de las mismas. El DTII, deberá implementar el mecanismo de control que le permita gestionar adecuadamente la información de pólizas de los activos informáticos, minimizando el riesgo de error en la gestión de la medida. Artículo 38. Desecho
Obsolescencia de Recursos Tecnológicos y
a. El desecho de equipo informático estará abocado al procedimiento de Destrucción de Activos vigente en la institución. Previo a la destrucción de un activo informático,
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
38
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
se deberá contar con el criterio técnico que justifique la ejecución. b. El Departamento de TI, es la instancia técnica autorizada
para determinar la obsolescencia del equipo tecnológico propiedad de la institución. La obsolescencia deberá ser determinada bajo principios principios de antigüedad y tecnicismos que medien en la funcionalidad y operatividad del equipo con respecto a la tendencia tecnológica imperante en el momento de la evaluación de obsolescencia. c. Dada la naturaleza altamente contaminante propia de los desechos electrónicos, INCOP contratará o coordinará con un tercero para la destrucción de los activos, quien deberá garantizar –mediante documentación que lo respalde- que el procedimiento empleado se se efectúa en congruencia con los principios de conservación del ambiente.
d. El Ente Legal de INCOP, velará porque la destrucción efectuada
por
el
tercero,
se
realice con
base
al
procedimiento jurídico aplicable. e. El Departamento de TI, deberá contar con un detalle de las destrucciones de activos informáticos que se realicen, como mínimo, se debe registrar la siguiente información: Activo, Placa, Marca, Modelo, Serie, Fecha de Destrucción, Acta (en digital o papel), Criterio Técnico que justifique la destrucción ión del Activo y Organización Responsable de la Destrucción. Artículo 39.
Movimiento y Ubicación de Equipo Tecnológico
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
39
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
a. El movimiento de los recursos entre oficinas de un mismo edificio estará abocado al procedimiento interno en la institución. b. El movimiento de equipos entre oficinas deberá ser realizado con la presencia de un personero del DTII, el cual, deberá ubicar los equipos computacionales en lugares que reúnan las condiciones requeridas para proteger su integridad física. c. Cuando se trate de movimientos en una misma oficina, las locaciones de los recursos deberán respetar las recomendaciones que el DTII haya definido. En virtud de lo anterior, el DTII, deberá mantener las recomendaciones debidamente divulgadas entre la comunidad de usuarios de TI del INCOP. d. Cuando algún personero del DTII observe un riesgo físico atribuible a la locación del recurso, deberá de manera inmediata, coordinar con el usuario responsable del Activo la reubicación del mismo. El usuario, deberá respetar el criterio técnico y acatar la recomendación.
e. Se prohíbe que el usuario intercambie los periféricos de un equipo con otro. Artículo 40.
Reparaciones y Garantías de Hardware
a. El DTII, será la entidad autorizada a definir las mejores estrategias de garantías para cada tipo de equipos. No obstante, para ara el caso de estaciones de trabajo, computadoras portátiles y servidores la garantía del Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
40
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
fabricante no deberá ser menor a 3 años y la respuesta deberá ser en sitio. b. El DTII es la única entidad autorizada a gestionar las garantías de los recursos tecnológicos de la institución, lo anterior, en caso de requerirse la aplicación de las mismas.
c. El DTII es la única entidad autorizada a determinar si un recurso tecnológico requiere reparación ejecutada por un tercero. Para tales efectos, le corresponderá corresponderá tramitar la reparación y entregar al usuario final, el activo debidamente reparado.
d. La reparación de un activo por parte de un tercero, deberá darse en el tanto el DTII haya dado la justificación técnica del porqué debe ser reparado de esa manera. mantener un registro de las reparaciones/ garantías efectuadas a los activos tecnológicos. En el caso de reparaciones fuera de las instalaciones del INCOP se deberá generar un registro de Salida de Equipos Fuera de la Institución. El registro de reparación, deberá contener al menos los siguientes datos:
e. El
DTII,
a. b. c. d. e. f.
deberá
Placa de Activo, Activo, Marca/ Modelo/ Serie. Criterio técnico de TI para la reparación: Empresa que repara, Fecha de Salida,
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
41
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
g. Boleta de Salida de Equipo (si la reparación es hecha fuera de las instalaciones del INCOP), h. Responsable de TI de Gestionar la Reparación/ Garantía, i. Fecha de Ingreso post reparación, j. Costo de la Reparación, k. Estado del Activo post reparación.
f. El DTII, deberá custodiar en estricto orden la documentación que el tercero remita remita por efectos de reparación/ garantía. g. Para el caso de las reparaciones resueltas en sitio, se deberán registrar sólo si hubo cambios de las partes y notificar a la Unidad Funcional de Contabilidad para las ediciones correspondientes en los inventarios de activos de la institución. El DTII, deberá tener un registro de los números de serie de las partes reemplazadas y de las nuevas.
Artículo 41.
Uso de Impresoras
a. Los dispositivos de impresión, deberán ser utilizados única y exclusivamente para imprimir documentación n propiedad de INCOP. La utilización de estos recursos en actividades ajenas a la institución, provocará que el DTII realice el reporte respectivo al Departamento de Capital Humano para que éste proceda según corresponda. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
42
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. La Administración Activa, deberá velar por el uso racional que se le dé a este tipo de recurso en el área de su autoridad. c. Cada vez que personal del Departamento de Tecnologías de Información instale un dispositivo de impresión, éste con base a criterios técnicos e identificación de necesidades de las áreas, determinará si el recurso será compartido o privado. d. La Administración ón Activa, está autorizada a solicitar que determinado recurso de impresión compartido (léase punto C), sea accedido por usuarios o grupos de usuarios. No obstante, deberá haber una coordinación previa entre el responsable o encargado del equipo en cuestión cuestió y el solicitante del servicio de impresión. Artículo 42.
Uso de Cobertores
a. El DTII en conjunto con la Gerencia General, velarán porque los equipos tecnológicos, cuenten con sus respectivos cobertores. b. Es estrictamente obligatorio para el usuario, utilizarlos sin excepción. De sufrir el equipo daños por carecer de este tipo de protecciones, se realizará el reporte respectivo a las áreas atinentes para que se proceda según corresponda. Artículo 43.
Protección de Equipos Equip
a. El DTII, deberá definir y divulgar medidas de seguridad que provean protección física y lógica a los recursos tecnológicos propiedad de INCOP. Es obligación del usuario acatarlas sin excepción. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
43
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. El Departamento de TI, podrá divulgar las medidas por correo eo electrónico, por apersonamiento o por escrito, o según conveniencia. c. Se prohíbe el uso de los recursos tecnológicos de la institución por parte de terceros no autorizados. Las únicas excepciones serán los proveedores de servicios y/o productos que hayan hayan firmado un Acuerdo de Confidencialidad y Uso de las TI de INCOP. d. El DTII podrá mediante la entrega de un documento oficial de Responsabilidades del Usuario con Respecto al Uso de la Plataforma Tecnológica del INCOP especificarle y endosarle al usuario, todas las responsabilidades y recomendaciones orientadas a proveer seguridad física y lógica a los recursos tecnológicos. Las cuales, serán de acatamiento obligatorio para el usuario. e. El DTII, deberá entregar a los usuarios un Documento Oficial donde especifique especifique las responsabilidades sobre el uso de la plataforma tecnológica de la institución. Cada vez que haya cambios, el DTII deberá ejecutar una divulgación efectiva a través del medio que crea conveniente. f. Todo recurso informático, deberá tener un respo responsable debidamente designado en el atestado del punto “e”. Cualquier daño que ocurra al mismo, éste deberá responder por los perjuicios ocasionados. g. Para los equipos de uso compartido por un área o más, por ejemplo, impresoras o escáneres, etc., tendrán como Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
44
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
responsables a los superiores de área beneficiados con el uso del recurso. h. El DTII le recomendará a la Gerencia General los mecanismos de seguridad que se deberán implementar para el aseguramiento de la plataforma tecnológica. Esta última, deberá facilitar ilitar los recursos necesarios para la implementación. Artículo 44.
Auditorías a Estaciones de Trabajo
a. El DTII, podrá realizar auditorías en los equipos de los usuarios en el momento que lo precise con el objetivo de verificar posibles cambios en las configuraciones o originales, riginales, en el hardware y/ o software. De resultar afirmativos los cambios, el DTII generará las evidencias y las remitirá a los entes involucrados para que se realice el procedimiento correspondiente. ejecutará en b. Las auditorias al contenido de los equipos, se ejecutará total apego a las Leyes que regulan la materia. De la Gestión del Software Artículo 45.
Licenciamiento
a. El DTI, deberá informar a la Gerencia General, las necesidades de licenciamiento imperantes en la institución. Esta última, deberá tomar las decisiones de adquisición adquisición correspondientes. b. El Departamento de TI, sólo instalará licencias propiedad de INCOP. Respetará la vigencia de las mismas y utilizará sólo las cantidades adquiridas. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
45
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
c. Es responsabilidad del DTII, establecer los mecanismos necesarios para implem implementar un control de las licencias de software y sistemas adquiridos por el INCOP. Artículo 46.
Custodia de Licencias de Software
a. Toda la licencia física y lógica de software, estará en
custodia del Departamento de Tecnologías de Información. Éste, podrá tomar las medidas medidas que crea convenientes para resguardar la integridad física y lógica de las mismas. Sobre este mismo orden, la Gerencia General, deberá facilitar todo equipamiento especial que el Departamento de TI requiera para lograr este objetivo. b. El custodio de licencias, deberá tenerlas tanto en formato Digital como en formato impreso. Ambos medios, deberán contar con los controles necesarios para asegurar su integridad, confidencialidad y disponibilidad.
Artículo 47.
Custodia de Medios de Instalación
a. El DTII,, deberá mantener los medios de instalación, debidamente custodiados, de tal manera que se garantice acceso sólo a personal autorizado. b. El DTII, deberá mantener un inventario de los medios de instalación. Deberá definir si son medios originales o copias.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
46
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
c. En los casos donde el medio de instalación sea utilizado con mucha frecuencia, el DTII, deberá utilizar para efectos de instalación, medios que sean Copia del original, lo anterior, para minimizar riesgos de daño.
ntener la clave d. Los medios de instalación, NO DEBERÁN contener del producto, o el archivo de licencia, ni como contenido de datos ni etiquetas adheridas al medio. Lo anterior, como medida contingente en caso de robo o extravío. Artículo 48.
Instalación y Desinstalación de Software
Al DTII, le corresponde realizar la instalación y desinstalación de software en los equipos propiedad del INCOP. Bajo ninguna circunstancia los usuarios podrán ejecutar este tipo de tareas. Terceros a la institución, podrán realizarlas en el tanto hayan firmado el Acuerdo de Confidencialid Confidencialidad ad y Uso de las TI propiedad de INCOP y cuenten además con la fiscalización y aprobación del DTII. Artículo 49.
Uso de Software de Distribución Libre
a. INCOP, autoriza el uso de Software libre en el tanto, se cumplan las siguientes disposiciones: i. En caso de que algún usuario requiera almacenar, instalar, ejecutar, o copiar programas de distribución libre y que estos no figuren como software oficial del INCOP, deberán solicitarlo al Departamento de Tecnologías de Información. ii.
El usuario interesado, deberá justificar con con razones laborales, fehacientes y comprobables, la necesidad de utilizar el software de distribución libre.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
47
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
iii.
El DTII, aprobará la solicitud, en el tanto, verifique que el software no constituye un riesgo para la plataforma tecnológica de la institución y que además, no constituye un software que pudiere resultar no provechoso para el usuario.
iv.
El DTII, podrá sugerirle al interesado, otra opción de software que pudiere resultar más conveniente en términos de utilidad y técnicos.
Artículo 50.
Control de Versiones de Software Soft
El DTII, deberá implementar un mecanismo que garantice que el software actualizable instalado en el hardware de la institución se mantiene con las últimas versiones liberadas por el fabricante. CAPÍTULO VI De la Gestión de Respaldos de Información y Medios de Almacenamiento Artículo 51.
Respaldos espaldos de Datos
a. El DTII, deberá realizar al menos una vez a la semana, respaldo de todos los servicios, datos, códigos fuentes, configuraciones y demás información sensible requerida para mantener en condiciones óptimas la plataforma tecnológica del INCOP. b. Las tareas de respaldo, deberán realizarse en horarios que no afecten con gran gra impacto las funciones de los usuarios que dependan de las tecnologías de información. De previo Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
48
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
aviso, el DTII, deberá informar en qué horarios se realizarán las copias de seguridad. Lo anterior, para que los usuarios tomen las previsiones necesarias en su rutina laboral. c. El Departamento de TI, podrá solicitarle a las áreas usuarias –si fuere estrictamente necesario-, el abandono de las tareas usuales con el objeto de realizar sin interrupciones las copias de seguridad. De igual manera, podrá interrumpir –si fuera estrictamente necesario- la prestación de los servicios que se deberán respaldar únicamente por el tiempo que demore realizar la copia de seguridad. d. El DTII, podrá realizar a conveniencia institucional, copias de seguridad en el momento que lo precise, para lo cual, le podrá solicitar a las áreas usuarias la colaboración que en ese momento se requiera para realizar con éxito el respaldo de la información. Las copias de seguridad, no deberán ser dependientes de las anteriores. e. El área técnica de TI, podrá utilizar el software de respaldo y los medios físicos que considere oportunos para cada copia. Es decir, tendrá libertad de escoger tanto el medio lógico como físico, todo, en virtud de la conveniencia de las tecnologías disponibles en ese momento. momen Artículo 52.
Respaldos de los Usuarios Finales
a. El INCOP, deberá disponer para los usuarios finales medios de respaldo de información que les permitan realizar copias de seguridad según demanda y necesidad de los interesados. El DTII, deberá dar las asesorías Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
49
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
correspondientes. pondientes. Es responsabilidad del usuario, realizar los respaldos y velar por su efectiva realización. El DTII, queda exento de responsabilidad por la manipulación que el usuario le dé a las copias que de seguridad que realice. Administración Activa, solicitar por medio b. Corresponde a la Administración electrónico al Departamento de Tecnologías de Información qué datos requieren que sean respaldados y quiénes serán las personas autorizadas a su acceso (además de especificar los permisos: lectura, escritura o ambas); también, bién, deberán indicar si requieren de una copia en una ubicación geográfica distinta a la del origen de los datos respaldados. c. El DTII, deberá elaborar un formulario electrónico para la Solicitud de Respaldos, mismo, que deberá contemplar los requisitos informativos del punto “b”. El formulario, deberá ser remitido por correo institucional por el solicitante de los respaldos al DTII. d. Quedará a criterio del Departamento de Tecnologías de Información el medio y mecanismo a utilizar en la labor de respaldo según los recursos que se dispongan en su momento.
e. El DTII al menos una vez al año, deberá respaldar los datos de los usuarios contenidos en sus estaciones de trabajo/laptops y entregarlas al coordinador de área para su debida custodia. Como medida de seguridad, seguridad, el DTII guardará una copia idéntica en una locación que reúna las condiciones de seguridad que garanticen acceso Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
50
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
restringido, integridad disponibilidad.
física,
integridad
lógica
y
f. Es responsabilidad del DTII, divulgar las recomendaciones orientadas a la custodia segura de los respaldos de los usuarios finales. Artículo 53.
Unidades de Respaldos
a. Las unidades de respaldo de datos llamados comúnmente “quemadores” de CD y/ o DVD entre otros, serán utilizados por los empleados3 de INCOP única y exclusivamente ente para realizar copias de seguridad de datos institucionales, el jefe inmediato o coordinador de área, deberá tener conocimiento de los respaldos que un colaborador de su Departamento o Área realice, en qué medio y en qué fecha. Así mismo, queda bajo la responsabilidad del creador las acciones que se realicen con la copia. b. El superior de área, deberá vigilar la custodia y uso de los respaldos, de manera tal, que no exista exposición al robo de los datos, pérdida y otros usos indiscriminados, que también atenten contra la confidencialidad de la información. c. Se prohíbe a los empleados de INCOP, utilizar los medios de respaldo para copiar de manera total o parcial datos4 que no cuenten con la autorización comprobada del autor. Artículo 54.
3 4
Dispositivos de Almacenamiento Almacenamient
Empelados en propiedad, interinos, contrato, colaboradores ad honorem. Información, enciclopedias, música, vídeo, voz, etc.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
51
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
a. Las unidades de almacenamiento llamadas “Memoria Flash”, deberán ser utilizadas para fines laborales. Se prohíbe el almacenamiento de material pornográfico, inmoral, de entretenimiento o que atente contra la ética y los buenos principios. b. Toda adquisición ión de llaves maya, discos duros y demás medios de almacenamiento, deberán contar con la aprobación del DTII. El interesado de adquirirlo, deberá JUSTIFICAR fehacientemente la compra de este tipo de herramientas. c. El DTII, podrá por aspectos de seguridad y técnicos, debidamente justificados, prohibir el uso de las llaves de almacenamiento en la plataforma tecnológica del INCOP.
d. La prohibición puede ser temporal o definitiva, según la necesidad y/ o criticidad de los problemas ocasionados por el mal uso de las mismas. e. Información confidencial o sensible, NO PODRÁ ser almacenada en medios de almacenamiento que no cuenten con la debida custodia y protección. Lo anterior, por el riesgo latente de pérdida, robo o extravío de ese tipo de medios, lo que podría significar significar un medio de fuga de información. Los usuarios que porten este tipo de medios, serán responsables por lo que suceda con la información contenida en ellos.
f. En virtud del punto anterior, el DTII, mantendrá un
monitoreo y registro constante de los archivos que se Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
52
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
escriben y leen de los medios de almacenamiento removibles, como llaves maya, CD’s, DVD’s, etc. g. Es responsabilidad del usuario del dispositivo, mantener una manipulación que procure: � NUNCA poner en riesgo5 las estaciones de trabajo en las que cargue o descargue archivos mediante el dispositivo. � La integridad física del dispositivo. � Custodia responsable del mismo para evitar su extravío, pérdida o robo. h. En los casos en los que se demostrare irresponsabilidad en la manipulación de ese tipo de dispositivos, el Departamento de Tecnologías de Información, podrá prohibirle al usuario, de manera temporal o definitiva el uso de los mismos. i. Se prohíbe al usuario usuario,, ejecutar archivos tipo programas contenidos en los medios de almacenamiento removibles. Artículo 55.
Desecho de Medios de Almacenamiento
Los medios de almacenamiento fijos o removibles, serán desechados de tal manera que se garantice que los datos no podrán ser recuperados erados por ninguna razón. En virtud de lo anterior, le corresponde al DTII recomendar e implementar la técnica de destrucción adecuada para cada tipo de medio. El proceso de desecho de este tipo de recursos no deberá atentar contra el medio ambiente, para lo cual, se deberá contar con un ente experto en destrucciones de equipos de esta naturaleza.
5
Por la presencia de virus u otro software malicioso en el dispositivo.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
53
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
CAPÍTULO VII Contratación de Terceros Artículo 56. Términos de Referencia para las Contrataciones en TI a.
b.
El DTII, deberá definir y oficializar las políticas y los Términos de Referencia q que ue deberán especificarse para todas las contrataciones que se realicen en el área de las TI. Los términos de referencia deberán incluir al menos: • Justificación de la Contratación • Alcance del Producto o Servicio • Detalle o Descripción • Admisibilidad Técnica • Condiciones Indispensables • Responsabilidades del Adjudicatario • Puntos Clave de Verificación del Contrato • Cronograma de Actividades • Proceso de Transferencia • Gestión de Riesgos El Departamento de TI, deberá definir todos los términos de referencia que apliquen apliquen para la contratación a realizar.
Artículo 57. Ofertas
Selección de Oferentes y Evaluación de
a. La evaluación de ofertas estará abocada a la normativa interna y externa a la institución.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
54
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. A parte del costo de la oferta, serán tomados como puntos de evaluación -pero no se limitará a-, la experiencia del oferente, el Nivel de Satisfacción de sus Clientes (en el caso de que el proveedor haya suministrado servicios o productos a INCOP, se tomará como referencia la experiencia habida entre este y la institución). y Garantía Ofrecida sobre el producto o servicio. Para cada uno de los puntos, el DTII deberá formular objetivamente de qué manera será evaluado cada ítem. Artículo 58.
Seguimiento de Contrataciones
a. Toda contratación, deberá ser fiscalizada por un personero del DTII. Este, deberá velar por la ejecución completa de la contratación, por la calidad del servicio o producto y por la realización total del alcance de la misma. b. Para efectos de terminación del contrato, el proveedor, deberá emitir un informe sobre las activ actividades idades desarrolladas. El responsable de fiscalizarlo, deberá revisar el informe y emitir los criterios que den lugar a la conformidad o disconformidad sobre el trabajo realizado en función de lo acordado.
documenta los c. El responsable de la contratación deberá documentar niveles de satisfacción respecto al trabajo realizado por el proveedor a fin de contar con un banco de información que permita evaluar a futuro el desempeño de los proveedores.
Artículo 59.
Servicios de Mantenimiento de las TI
a. Cuando se requiera de servicios tercereados tercereados para el mantenimiento de las TI, el DTII deberá documentar las Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
55
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
razones
técnicas
contundentes
que
justifiquen
la
contratación del servicio.
b. Por la criticidad de estas contrataciones, el DTII, deberá robustecer los términos de evaluación de ofertas con el objetivo de minimizar el riesgo de contratar proveedores que se desempeñen de forma inadecuada. c. El DTII, será el responsable de definir las medidas de control que garanticen: un monitoreo adecuado del desarrollo del servicio y su ejecución transparente, transparente, de conformidad con lo previamente pactado. CAPÍTULO VIII Ingreso y Salida de Recursos Tecnológicos Artículo 60. Ingreso de Recursos Tecnológicos por Adquisición a. El ingreso de equipo tecnológico a las instalaciones de INCOP por motivo de adquisición, estará abocado al procedimiento proced interno vigente. b. Todo recurso tecnológico producto de una adquisición -antes de ser entregado a la unidad solicitante del recurso-,, deberá ser inspeccionado por el DTII tanto para verificar su estado como para verificar las características técnicas con respecto a las especificaciones pre compra. En virtud de lo anterior, el DTII deberá coordinar con el Departamento de Proveeduría la revisión técnica de los equipos tecnológicos entregado por los proveedores antes de ser distribuidos a los usuarios usuarios finales. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
56
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
En cada contratación de equipos y suministros de cómputo se incluirá una cláusula en el cartel que garantice una revisión previa de dicho equipo por parte del Departamento de Tecnologías de Información con el fin de asegurar su perfecto estado do además de cumplir con las especificaciones técnicas previamente definidas.
c. La asignación del recurso al usuario final será realizada única y exclusivamente por el DTII. Éste lo entregará cuando hayan sido debidamente preparados para el usuario final. Todo T recursos informático, será entregado con la documentación de control atinente.
d. El DTII, deberá custodiar toda la documentación y medios de instalación emitidos por el fabricante. Artículo 61. Ingreso de Recursos Tecnológicos por Reparaciones o Garantías a. Cuando un n equipo procedente de reparación ingresa al DTII, se deberá verificar la boleta de salida con el objetivo de determinar si el activo conserva las características físicas de cuando salió de la institución así como las configuraciones de hardware y demás de detalles. talles. En caso de existir irregularidades, el DTII deberá notificarle al Departamento de Proveeduría para que se proceda según corresponda. Autorización de DTII por medio de correo electrónico mediante la solicitud de servicio. b. La asignación del recurso al usuario final será realizada única y exclusivamente por el DTII. Éste lo entregará cuando hayan sido debidamente preparados para el usuario, con la documentación de control atinente. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
57
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Artículo 62.
Salida de Recursos Tecnológicos
a. La salida de e equipo tecnológico fuera de las instalaciones propiedad de INCOP, estará abocada a los procedimientos internos de la institución y a los procedimientos externos a esta –en caso de que aplicare-. b. Cuando se trate de salida de equipos por reparación o aplicación ación de garantía, la persona física o jurídica responsable deberá informar de previo aviso al Departamento de TI, el nombre del responsable de retirar el equipo de las instalaciones de INCOP. c. Por cada salida de equipo, el Departamento de TI deberá generarr y custodiar un documento con al menos la siguiente información: � Consecutivo de Documento, � Placa de Activo, � Descripción del Activo, � Marca, � Modelo, � Serie, � Fecha de Salida, � Posible Fecha de ingreso –Si aplicara-, � Receptor del Equipo. (Persona Física o Jurídica). � Motivo de la Salida, � Nombre y Firma del Responsable de recibir el equipo: el DTII, deberá contar con la imagen (en papel o en digital) de la cédula de identidad del responsable de retirar el equipo de las instalaciones físicas del INCOP. (La firma firma fungirá como indicador de que la persona recibe el equipo con las especificaciones detalladas), Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
58
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
� Nombre y Firmal del personero de TI quien autoriza la salida del equipo, � Estado Físico del Activo: Definir si éste tiene alguna irregularidad en el chasis, etc. e � Características Técnicas: En caso de ser una estación de trabajo, deberá detallarse o adjuntarse un reporte con el detalle de los componentes de su configuración de hardware (HDD, memoria, procesadores, tarjeta madre, etc.), etc., � Otros detalles: Se deberá deberá especificar, por ejemplo, si el equipo se entrega con consumibles –en el caso de ser impresoras-,, si se entrega con maletines, adaptadores de corriente, etc. Y todo aquel detalle que permita en el momento de la devolución, verificar que el activo es devuelto devuelto íntegramente con todos los componentes de cuando se entregó. d. En caso de que la salida se realice en las oficinas de San José, Puntarenas, Quepos, Golfito, u otras, el DTII, deberá emitir la autorización –por el medio que lo considere necesario- para efectos de control. De igual manera, el responsable de llevar a cabo la salida del activo, deberá generar la misma documentación del punto anterior. Esta, deberá ser suministrada de inmediato al DTII. Para los fines anteriores, el DTII, deberá definir el mecanismo de preferencia digital mediante el cual, instancias geográficas no ubicadas en Caldera, deberán generar la información.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
59
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
CAPÍTULO IX Correo Electrónico, Internet y Servicios en Línea Artículo 63.
Objetivo del Correo Electrónico Institucional
a. El correo electrónico institucional, se considera un medio oficial de envío y recepción de información. En virtud de lo anterior, es obligatorio para el usuario, mantener el software de correo, en ejecución siempre que use su estación de trabajo.
60 b. Para loss efectos correspondientes, toda gestión entre instancias internas, hecha a través del correo electrónico institucional, tendrá la misma validez como cualquier trámite que se realice mediante papelería física. c. En virtud del punto “a”, el DTII deberá optimizar mizar las configuraciones tanto del Servidor de Correos como del software para usuarios finales con el objetivo de asegurar la integridad, la privacidad de la información y la disponibilidad del servicio –tanto en las instalaciones del INCOP como fuera de estas-,, seguimiento de correos, avisos por recepción por parte de los destinatarios, etc.
d. Para efectos de respaldo de los trámites hechos por los usuarios a través del Correo Electrónico, el DTII, deberá implementar un mecanismo de copia de seguridad en Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
DIGITAL, de tal manera, que los correos gestionados por los usuarios, puedan ser recuperados en caso de pérdida de datos. Artículo 64. Privacidad y Confidencialidad del Correo Electrónico a. El
INCOP, reconoce los principios de libertad de expresión, privacidad y confidencialidad confidencialidad de la información, por lo tanto, no realizará monitoreo o inspección en los buzones de los usuarios. No obstante, el DTII, podrá limitar el tipo de archivos que pueden ser trasegados a través del medio, podrá determinar el tamaño de los buzones y las las capacidades de envío y recepción de información. El DTII, está facultado a utilizar software de control de correo basura.
b. Cuando un funcionario, tenga que abandonar la actividad laboral tanto de manera temporal o definitiva (sea por vacaciones, incapacidad, incapacidad, renuncia, traslado, despido, etc.), este, deberá definir con el superior del área de manera PREVIA al cese de las funciones, qué datos del buzón son
de interés para el área aún después del cese de las labores del titular de la cuenta. Una vez las partes tes hayan definido los datos de interés, deberán recurrir al DTII para hacer el traspaso de información correspondiente.
c. El DTII NO habilitará la cuenta para que usuarios no titulares de la misma, accedan al buzón, salvo en los casos en que se cuente con la autorización expresa del usuario titular, o salvo en los casos de fuerza mayor y que sean autorizados expresamente por la Gerencia General, Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
61
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
asumiendo esta, las implicaciones legales que podría implicar la violación de la privacidad. Artículo 65. Creación/ Eliminación Eliminación de Buzones de Correo Electrónico a. El DTII, eliminará los buzones en los siguientes casos: � Rompimiento laboral entre el empleado e INCOP. � Conclusión del Contrato para el caso de la modalidad de contrato. � En los casos donde se demuestre, que el titular del buzón, hace un uso indiscriminado del medio.
b. Todo usuario autorizado con cuenta en el dominio de INCOP, tendrá derecho a una cuenta de correo electrónico con la cual enviar y recibir correos electrónicos. c. La Administración Activa, podrá solicitar al DTII la creación y/ o eliminación de cuentas de usuario. La eliminación, se realizará en los casos del punto A. d. En el caso de que se solicite la eliminación de una cuenta de correo electrónico, la información de los buzones se almacenará por un máximo de 30 días naturales a partir del último inicio de sesión válido registrado en el Servidor Principal de Dominio del INCOP.
e. Una vez concluida la relación laboral de los empleados con INCOP, no podrán acceder a sus archivos personales almacenados en las tecnologías tecnologías de información propiedad de Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
62
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
INCOP. De igual manera, resulta para personal bajo la modalidad de Contrato. Artículo 66. Gestión Técnica de Cuentas de Correo Electrónico a. Al ser el Correo Electrónico un medio de transmisión oficial de información, el DTII, deberá garantizar garantizar la disponibilidad del servicio tanto dentro como fuera de las instalaciones de las oficinas de INCOP.
b. El DTII, deberá implementar las mejores prácticas en Gestión de Correo Electrónico para garantizar la integridad de la información y su privacidad ad cuando ésta sea transmitida a través de Internet. c. El DTII, deberá minimizar la recepción de correo basura en los buzones de los usuarios.
d. El DTII, deberá mantener las configuraciones de los servidores de correos en concordancia con las necesidades institucionales. e. El Departamento de Tecnologías de Información podrá
suspender de manera temporal o permanente el servicio de correo electrónico a aquellos usuarios que entorpezcan el uso adecuado de la herramienta y que por su particular manipulación pongan en riesgo la seguridad del servicio de correo.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
63
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
f. Compete exclusivamente al Departamento de Tecnologías de Información, definir las capacidades de almacenamiento de los buzones de cada usuario. Estas capacidades incluyen: Almacenamiento total de correos (tanto nto en Bandeja de Entrada, Bandeja de Salida, Elementos Enviados, Borradores y Elementos Eliminados) en el buzón y tamaño máximo de los correos de envío y recepción cuando estos contengan archivos adjuntos.
g. Será responsabilidad de Tecnologías de Información Informac definir las capacidades de correo óptimas que permitan un funcionamiento lo más eficaz y eficiente posible del servicio.
64 h. Compete al Departamento de Tecnologías de Información, definir qué tipos de archivos pueden ser considerados adjuntos válidos tanto en los correos de entrada como en los de salida. Pudiendo así, impedir la entrada o salida de los correos cuyo tipo de archivos adjuntos se encuentren en la categoría de no permitidos. Artículo 67. Disposiciones para el Uso del Correo Electrónico a. El correo electrónico rónico es una herramienta de comunicación oficial entre las unidades funcionales del INCOP y por lo tanto, debe ser utilizada para el intercambio de información oficial y no para difusión indiscriminada de datos.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. Es prohibido el envío de correo masivo con fines que no sean de interés particular para el INCOP.
c. Los titulares de cuenta, no
deberán registrar sus direcciones de correo electrónico institucional en páginas de Internet, foros, grupos de noticias, chats, y demás que no estén directamente involucrados involucrados con las actividades propias del puesto.
d. El titular de la cuenta, es responsable por el contenido de los correos y los problemas que ocasiones el uso indebido del medio.
65 deberá enviar archivos que sean potencialmente dañinos para la plataforma lataforma tecnológica del INCOP. El DTII, promulgará a la comunidad de usuarios, los tipos de archivos que no deberían transmitirse por correo electrónico.
e. El
usuario,
no
f. El usuario de correo electrónico, deberá notificar al Departamento de Tecnologías de Información la llegada de correos cuyo remitente sea desconocido, principalmente, cuando el correo trae datos adjuntos o cuando solicita información de manera maliciosa o solicite el acceso a links de Internet sospechosos.
g. El titular de la cuenta deberá acatar las medidas medidas que el DTII defina con fines de seguridad, integridad, funcionalidad y calidad en el servicio. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Artículo 68. Competencia del DTII en la Gestión de Internet a. El DTII, satisfaga Internet. t. consumos acceso.
deberá garantizar un ancho de banda que las necesidades institucionales de acceso a En virtud de lo anterior, deberá monitorear los de Internet para optimizar los permisos de
b. Compete al DTII, denegar accesos a sitios o protocolos que por su naturaleza, pongan en riesgo la seguridad de la plataforma tecnológica del INC INCOP. OP. De igual manera, podrán denegar accesos a sitios o protocolos que conlleven a un desaprovechamiento de la herramienta.
Artículo 69.
Disposiciones de Uso de Internet
a. La
Administración Activa, podrá solicitar al Departamento de TI acceso a INTERNET para los funcionarios a cargo. Corresponde al departamento de Tecnologías de Información aprobar o improbar estas solicitudes con base a criterios técnicos de seguridad, capacidades del recurso y factibilidad. En caso de no aprobarse la solicitud, el Departamento Departamento de TI, comunicará a los interesados las justificaciones según el caso.
b. Los usuarios autorizados a utilizar este servicio, no deberán almacenar información en sus equipos, ni harán uso de ellos en actividades contrarias a la moral y las Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
66
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
buenas costumbres, tumbres, excepto que esa información se requiera para el desempeño de labores propias del cargo. El uso indebido de este servicio se comunicará al encargado del Departamento de Administración de Personal para la eventual aplicación de las medidas del caso según correspondan.
c. Tecnologías de Información podrá mediante software de monitoreo, inspeccionar los sitios a los que los usuarios de Internet acceden. La inspección podrá realizarse en el momento en que el usuario está visitando el sitio o en tiempo diferido ferido según lo determine la instancia técnica respectiva.
67 d. Tecnologías de Información, podrá almacenar los registros (dirección del sitio, hora, fecha, usuario, estación de trabajo) de las páginas que los usuarios visitan el tiempo que así lo crea conveniente. conveni
e. Tecnologías de Información, determinará de manera exclusiva, qué tipo de archivos podrán ser obtenidos desde Internet y qué usuarios tendrán el respectivo permiso.
f. En el caso de detectarse usos no permitidos a los usuarios, se procederá de la siguiente sig manera: i. Se suspenderá el acceso a Internet. Internet ii. Se notificará tanto al Superior de área inmediato como al Coordinador de Capital Humano para que se proceda según las competencias correspondientes.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Artículo 70.
Acceso a los Monitoreos de Internet
a. La Gerencia General, será la única autorizada a determinar, cuáles instancias en determinado momento, podrán acceder a los monitoreos a Internet.
b. El DTII, entregará los informes de accesos, sólo con la autorización expresa de la Gerencia General. El DTII, queda exento de cualquier responsabilidad, por el uso que se le dé a los informes de los monitoreos entregados. Artículo 71.
Uso de Software “Peer to Peer”
Se prohíbe el uso de Software “Peer To Peer” (Redes que facilitan el intercambio de archivos), lo anterior, por cuanto esta modalidad de programas constituyen un riesgo de seguridad al exponer el equipo a software no deseado, atentan contra las leyes de derecho de autor y su uso conlleva a un consumo elevado del ancho de banda.
Artículo 72.
Publicación en la Web de INCOP
a. El órgano rector en Tecnologías de Información, será la entidad autorizada a determinar en qué formato de información se publicará en la página Web institucional –a solicitud de las áreas interesadas-,, además de definir quiénes serán los responsables de suministrarla. El Departamento epartamento de TI, con base a criterios técnicos, determinará si el diseño y/ o modificación de la página la
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
68
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
realizará el personal de esa unidad o en sus efectos se deberá recurrir a la contratación. página Web b. Todo lo que se solicite ser publicado en la en la página del INCOP deberá ser indicado por la Gerencia General. c. El departamento de Tecnologías de Información, determinará por razones técnicas, el formato y tipo de archivo con el cual los responsables deberán presentar la información. TI, recibirá esta información información sólo por medios digitales, cualquier otro medio será descartado y comunicado al órgano rector en TI. No obstante, TI asesorará al emisor de la información en cómo proceder con la digitalización. proce con d. El DTII tendrá al menos 3 días hábiles para proceder la publicación de aquellos documentos cuyo formato sea el solicitado. Cuando se tratare de modificaciones a la página, TI determinará en función del coste técnico, los días necesarios para realizar la nueva publicación. No obstante, deberá informar al interesado los días que tomará publicar la nueva versión. Artículo 73.
Uso de Software de Mensajería
a. El uso de software de mensajería, se autorizará sólo a aquellos usuarios cuyo superior de área haya debidamente justificado el uso del mismo. Tanto el que autoriza como el usuario del servicio, asumirán las consecuencias del uso que este último le dé al software.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
69
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. El DTII, podrá monitorear el uso que se le dé a ese tipo de software y de encontrar anomalías o prácticas que atenten contra la integridad lógica de la plataforma plataforma tecnológica, podrá inhabilitar el uso a los usuarios infractores.
c. El DTII, podrá regular el uso de la herramienta en cuanto a horarios, máximo consumo de ancho de banda. Podrá definir restricciones técnicas para disminuir el riesgo en el uso.
d. Para el caso de terceros, deberá existir la autorización de un ente competente dentro de la institución. Aplicarán los puntos a, b y c de este artículo para el caso de los terceros.
70 e. El DTII, determinará en función de seguridad, cuál software así como su versión versión podrá ser utilizado para efectos de mensajería instantánea. CAPÍTULO X Gestión de Incidentes y Servicios a Usuarios Artículo 74.
Solicitud de Servicios de TI
a. El Departamento de Tecnologías de Información, deberá definir el procedimiento para la Gestión de Solicitudes de Servicios de TI. Todo cambio al procedimiento, podrá ser comunicado a la comunidad de usuarios tanto por medio electrónico como por medio escrito. El mismo será de acatamiento obligatorio sin excepción. b. En todo momento, el usuario que haya hecho una solicitud de servicio, podrá conocer el estado de la misma. Para Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
este fin, podrá hacer la consulta por el medio que crea conveniente. c. Cuando por cualquier razón el usuario ya no necesitare el Servicio expuesto to en alguna solicitud, deberá avisar de inmediato por el medio de comunicación previamente definido en el procedimiento.
d. El DTII, deberá adaptar los procedimientos de solicitudes de servicio a las necesidades de eficiencia y eficacia requeridas por la institución. institución. Para lo cual, el DTII, deberá proponer mejoras constantes, innovación en las técnicas de gestión de servicios y sobre todo, orientarse en el apoyo de herramientas software que le permitan una gestión precisa, con valor agregado para la institución. instituc
Artículo 75.
Política de Atención de Solicitudes de Servicio
Las solicitudes de Servicios, serán atendidas con base al orden cronológico de los reportes de solicitud. No obstante, aquellas que por carácter de urgente o de interés institucional se atenderán con prioridad. ioridad. Esta prioridad, será determinada exclusivamente por el Departamento de TI según criterios técnicos y/ o necesidades de la Administración Superior. Artículo 76.
Manejo de Incidentes
a. El Departamento de TI, deberá tener un registro de todos los incidentes que tengan impacto sobre la operación normal de la plataforma tecnológica del INCOP. Este registro, deberá tener al menos: Descripción del incidente, Fecha Hora Inicio y Fecha Hora Fin, Causa, Detalle de la Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
71
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Solución efectuada y el nivel de impacto a nivel organizacional. La información, deberá especificarse adecuadamente con el objetivo de facilitar la atención de futuros incidentes. b. Con base a la información anterior, el departamento de TI, deberá realizar un análisis de incidente-causa-impacto para implementar ementar controles orientados a minimizar la ocurrencia de los incidentes de mayor impacto o recurrencia. c. Las soluciones, deberán estar orientadas a erradicar las causas del incidente y no a correcciones temporales. No obstante, con base a la valoración del del incidente, se podrán implementar medidas alternas con carácter temporal mas se deberá implementar posteriormente la o las soluciones definitivas. Las soluciones, deben procurar minimizar los costes tanto de dinero como de tiempo-esfuerzo tiempo esfuerzo por reincidencia. CAPÍTULO XI Del Esquema de Seguridad en los Sistemas de Información Artículo 77.
Términos de Referencia
Administrador de Sistemas: Personero del Departamento de TI que tiene como responsabilidad, la administración técnica, de seguridad y operativa de los sistemas de información. informació
Cuenta de Usuario: Es una colección de datos que permiten hacer uso de los sistemas. Está compuesta, por ejemplo, de un identificador de usuario ligada a una calve, a un Token, etc. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
72
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Credenciales: Las credenciales son el conjunto de elementos que utiliza un usuario para probar su identidad. Un ejemplo habitual de conjunto de credenciales es el nombre de usuario y la contraseña. Dueños de Proceso: Se le llama dueño de proceso, al coordinador o superior de algún área funcional del INCOP, por ejemplo, Contabilidad, Proveeduría, Dirección Administrativa Financiera, Presidencia, Auditoría, etc.
Token: Dispositivo electrónico que se le entrega a un usuario autorizado de un servicio computarizado (en este caso, el servicio computarizado es el Sistema de Información Información) para realizar el proceso de identificación y autenticación.
Usuario: Es la persona física que tiene asignadas credenciales que le permiten hacer uso de los sistemas de información de INCOP. Artículo 78.
Esquema de Seguridad
a. Los sistemas de información automatizados automatizados de INCOP, deberán cumplir con el esquema de seguridad definido en este capítulo. b. El esquema de seguridad de los Sistemas de Información de INCOP, estará conformado por los siguientes componentes: • Requerimientos de Seguridad de los Sistemas, • Mecanismos de Identificación y Autenticación, • Responsabilidades de los Usuarios, • Definición de Accesos a los Sistemas, • Integridad de la Información, • Confidencialidad de la Información, Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
73
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
• Puesta en producción de los sistemas, • Mantenimiento de los Sistemas. Sistemas Artículo 79.
Requerimientos de Seguridad de los Sistemas
a. Todo sistema, debe tener definida y documentada la siguiente información: 1. Administrador de Sistemas (DTII). 2. Responsable General del Sistema. 3. Responsable por Procesos. 4. Roles de Usuario (Cuentas de Usuario, con el Rol Vigente). De haber cambios, deberá existir un historial. 5. Cuentas de Usuario con el Rol asignado y el estado.
74 b. Toda transacción o consulta que se ejecute en los sistemas, deberá quedar registrada. Los sistemas, deberán contar con un módulo de consulta consulta de las transacciones realizadas en el mismo (Módulo de Auditoría). Como mínimo, se deberá registrar: usuario que ejecutó la transacción, la transacción (Consulta, Inserción, Modificación, Eliminación), Fecha/Hora, Estación de trabajo, datos gestionados. c. El sistema, debe proporcionar una interfaz que permita la definición de cuentas de usuario, la asignación de claves y la definición de los privilegios de acceso al sistema (perfiles). Este módulo, deberá estar habilitado sólo para aquellos usuarios que cuenten cuenten con las autorizaciones de administración técnica total del Sistema.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d. La gestión técnica total del sistema, deberá estar delegada en el Departamento de TI.
e. El DTII creará las cuentas, las claves e implementará los privilegios de acceso (perfiles) siempre que haya recibido la Solicitud Formal de Creación de Cuenta, aprobada tanto por el Administrador del Sistema como por el dueño del proceso. Además, la solicitud, deberá definir el rol del usuario para que el DTII, proceda con la implementación correspondiente. espondiente.
f. De preferencia, las claves deberán gestionarse de manera cifrada.
g. Los
identificadores
de usuario del realizarse de manera estandarizada.
sistema,
debe
h. Deberá implementarse el control de sesión inactiva en los sistemas. En virtud de lo anterior, anterior, se deberá forzar al usuario a ingresar las credenciales cuando haya transcurrido un período considerable de inactividad en el sistema.
i. Los sistemas, deberán registrar los intentos de inicio de sesión en los mismos. j. Deberá existir el bloqueo de cuenta cuando haya más de 3 intentos fallidos. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
75
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Artículo 80.
Mecanismos de Identificación y Autenticación
tener un mecanismo de identificación y autenticación. La definición de este mecanismo, deberá realizarse en función de la sensibilidad de los datos gestionados por el sistema de información. b. Se deberá identificar de manera única a todos los usuarios de los sistemas. Cualquiera que sea el mecanismo, deberá existir la estandarización en los identificadores. a. Todo
sistema,
deberá
identificadores de c. Cuando las credenciales correspondan a identificadores usuarios y claves, éstas últimas deberán cambiar al menos cada 2 meses. Los sistemas, deberán solicitarle al usuario de manera automática, el cambio de la clave.
76 d. Cuando se trate de uso de claves, los sistemas, deberán permitirle al usuario, el cambio cuando lo requiera, sin que para ello, tenga que mediar el DTII.
e. Cuando se requiera el uso de credenciales compartidas, deberán documentarse las razones técnicas y las autorizaciones tanto de los dueños de procesos involucrados como del responsa responsable ble general del sistema. Artículo 81. Responsabilidad de los Usuarios de los Sistemas La responsabilidad de los usuarios con respecto al uso de los Sistemas de Información, estará regulada por las siguientes disposiciones:
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
a. El DTII, deberá definir las responsabilidades de los
usuarios con respecto a la utilización de los sistemas de información. Éste, deberá especificar un mecanismo adecuado y controlado tanto para realizar la difusión de las responsabilidades como su endoso. b. El DTII, deberá realizar revisiones y actualizaciones lizaciones constantes a las responsabilidades, además de verificar periódicamente su cumplimiento. De toda la gestión de los puntos A y B, deberá quedar constancia.
deberán acatar las recomendaciones y responsabilidades que ell DTII emita a favor del: • Uso legal, regulado y controlado de los sistemas, • Los principios de confidencialidad de la información, • Los principios de integridad y • Los principios de la disponibilidad.
c. Los
usuarios
de
los
sistemas,
d. Cuando la Administración Activa lo requiera, de previa coordinación, se le podrá solicitar al usuario, firmar un Acuerdo de Confidencialidad. e. Los usuarios de los sistemas, deberán hacer uso de los sistemas con respeto extremo a la ética y a los principios de legalidad. f. El usuario, tendrá PROHIBIDO utilizar la información de los sistemas para fines particulares, aún cuando tenga permisos de acceso a la misma. El usuario, no podrá bajo ninguna circunstancia, publicarla o entregarla a terceros no Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
77
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
autorizados. El uso de la información de los sistemas deberá eberá ser sólo para fines laborales.
g. Los usuarios, deberán responder por las transacciones que se realicen en los sistemas con sus credenciales.
h. El DTII, no será responsable por los datos que los usuarios ingresen a los sistemas. Si el usuario reconoce el e ingreso de información errónea, será su responsabilidad informarlo de inmediato a los dueños de proceso involucrados y al DTII para proceder con la reversión de transacciones (si fuera posible) o, para proceder con los cursos de acción necesarios para llevar llevar a cabo la corrección. Artículo 82.
Privilegios de Acceso a los Sistemas
a. Los dueños de proceso y responsable general del sistema, son los autorizados a solicitarle al DTII, la creación de cuentas de usuario. b. La Auditoría Interna, deberá gestionar ante la entidad correspondiente la creación de las cuentas de usuario. Los privilegios de acceso, se definirán en función de las necesidades de auditoría en el sistema. c. Los dueños de proceso, deberán contar con el visto bueno
del Responsable able general del Sistema para solicitar al DTII la creación de cuentas de usuario. Cuando el Responsable General del Sistema requiera la definición de cuentas de usuario, deberá contar con el visto bueno de los Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
78
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
dueños de proceso involucrados. Para estos ca casos, la definición de los privilegios de acceso, se realizarán de mutuo acuerdo con cada dueño de proceso. d. Los privilegios de acceso a las diferentes opciones del sistema, se definirán en función del cargo del empleado y de sus responsabilidades. El dueñ dueño o del proceso, será el responsable de definir el rol que tendrá el usuario. El responsable general del sistema, deberá aprobar los privilegios de acceso al sistema. e. Todo cambio en los privilegios de acceso, deberá ser aprobado tanto por el dueño del proceso proceso como por el Responsable General del Sistema. f. La implementación de los privilegios de acceso al sistema, será responsabilidad exclusiva del DTII. g. Los principios de control interno, deberán ser respetados. Será responsabilidad compartida del dueño del proceso proceso y del administrador general del sistema vigilar su respeto y cumplimiento. Se excluye de toda responsabilidad al DTII en caso de incurrirse en violaciones a esos principios. No obstante, será causal de investigación para el DTII la asignación de privilegios privilegios de acceso sin que se cuenten con las debidas solicitudes/ autorizaciones. h. La administración de las cuentas de usuario, sus claves y la definición de los niveles de acceso, deberán almacenarse en una base de datos, la cual, deberá contar con la debida de Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
79
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
protección que garantice: disponibilidad, integridad y confidencialidad de la información. Artículo 83.
Seguridad de las Bases de Datos
a. El DTII, deberá mantener medidas de seguridad que garanticen la integridad lógica de las bases de datos, la confidencialidad de de la información almacenada y su disponibilidad. b. El DTII, deberá verificar periódicamente el estado de la seguridad tanto de las base de datos como de la plataforma que le da soporte. c. Las bases de datos para los sistemas en producción, deberán estar separadas sep de las bases de datos para efectos de pruebas. Esta separación debe ser física y lógica.
d. El DTII, deberá asegurar que las bases de datos residan en una plataforma de servidor con las configuraciones de seguridad necesarias.
e. El DTII, deberá ejecutar respaldos automáticos, como mínimo, una vez a la semana.
Artículo 84.
Integridad de la Información
usuarios transacciones
a. Los
de en
sistemas, deberán ejecutar las los sistemas sólo aplicando
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
80
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
procedimientos
comprobados
que no arriesguen la integridad egridad de la información. De comprobarse pérdida de datos o deterioro de estos, atribuidos a mala praxis, INCOP podrá tomar las medidas legales que le resulten aplicables. b. Todos los sistemas en producción, deberán contemplar
controles que garanticen la completitud, completitud, la exactitud y la integridad de los datos que se gestionan en ellos. En virtud de lo anterior, se deberán implementar como mínimo, las medidas de control que se detallan seguidamente. No obstante, de existir nuevas técnicas garantes de la integridad ridad de los datos deberán ser implementados: • Uso de llaves en las tablas de la Base de Datos; primarias y foráneas (Integridad Referencial). • Cada ingreso de datos en la interfaz del sistema, deberá ser validado en función de: o Tipo de dato, o Longitud (Uso de delimitadores de texto), o Formato, o Validación de datos según lógica de negocio. Por ejemplo, validar que la fecha sea igual o anterior a la actual, validar las relaciones de un dato con respecto a otro, etc., o Completitud –Validación de datos vacíos o nulos-. nulos • Confirmación de transacciones mediante: Sí, No, Cancelar, o lo que en su defecto aplique para la transacción.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
81
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
• Mensajes de aviso de culminación satisfactoria de transacciones. • Implementación de reverso de transacciones en los casos donde se afecten afecten sensiblemente los datos. Realización -automática o mediante selección en el menú del sistema- de respaldos ANTES de ejecutar transacciones que afectan sensiblemente la base de datos. Lo anterior, en el caso de que se tenga que recurrir a los datos originales. En caso de, se deberá implementar alguna técnica que permita reversar los datos a su estado original. • Utilizar reportes de validación de transacciones efectuadas (Datos de Verificación). • Uso de cifras de control. • Uso de componentes dedicados a datos específicos, por ejemplo, utilización de objetos que manipulan fechas exclusivamente, y no componentes de texto, cuyo uso compromete la exactitud de la información digitada. • A nivel de Base de Datos, deberán ser implementadas –siempre siempre que sea factible-,, las mejores prácticas de aseguramiento de la integridad de la información. Artículo 85.
Confidencialidad de la Información
a. El responsable general del sistema y los dueños de
proceso, deberán velar por que la definición de los niveles de acceso, respeten los principios de Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
82
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
confidencialidad de la información, es decir, que la información sea accedida por quienes verdaderamente deban tener permiso para hacerlo. b. El DTII, deberá garantizar la confidencialidad de la información realizando las implementaciones técnicas técni en todos los componentes tecnológicos conformantes de la Plataforma tecnológica que intervengan en la gestión de los sistemas. c. Los usuarios de los sistemas, deberán abstenerse de divulgar la información gestionada, comunicarla y/ o transferirla ni siquiera siquiera en términos generales, ni a personas físicas ni jurídicas que carezcan de la autorización correspondiente.. d. Los
usuarios
de
los
sistemas,
deberán
acatar
las
recomendaciones y/ o controles que el DTII sugiera -por el
medio que considere oportuno- orientados ntados a fortalecer la confidencialidad de la información y el uso racional de esta. Artículo 86.
Puesta en Producción de los Sistemas
El DTII, deberá definir un procedimiento y las políticas que apliquen para el proceso de puesta en producción de los sistemas desarrollados, lados, adquiridos, adaptados, etc. Artículo 87.
Mantenimiento de Sistemas
a. El DTII, deberá velar por el debido mantenimiento que deban recibir los sistemas de información del INCOP.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
83
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. Para los efectos del INCOP, existirán 3 tipos de mantenimientos que podrán ser realizados a los sistemas del INCOP: • Mantenimientos Técnicos de Rutina: Corresponde a actividades técnicas como cambio de servidores, migraciones, actualización de versiones, implementaciones de seguridad, etc. • Mantenimiento Menor: Corresponden aquellas actividades donde su implementación y adaptación demora sólo algunas horas laborales y además, los cambios corresponden a modificaciones mínimas en pantallas o en reportes, y no se realizan alteraciones a nivel de bases de datos ni en el funcionamiento general del sistema. • Mantenimiento Mayor: Corresponden a aquellas actividades donde su implementación y adaptación demora varios días laborales y además, se deben realizar cambios en las bases de datos o en el funcionamiento general del sistema. c. El DTII, deberá verificar la factibilidad técnica de implementar un mantenimiento Mayor en los sistemas. La realización de este tipo de mantenimiento, se realizará ÚNICAMENTE si el criterio técnico del DTII lo avala. d. EL DTII, deberá mantenerse vigilante de los cambios menores que requieran realizarse por necesidades expresadas por los usuarios. En estos casos, el DTII, deberá definir un mecanismo simplificado para llevar a cabo este tipo de mantenimientos.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
84
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
e. Los mantenimientos Técnicos de Rutina, se realizarán según criterio del DTII.
f. El DTII, deberá diseñar un procedimiento y las políticas que rijan la actividad de mantenimientos mayores en los sistemas de información. En virtud de lo anterior, se deberá definir:
• Aspectos técnicos-operativos técnicos que e justifiquen la realización de los mantenimientos. • Responsables de Solicitar el Mantenimiento. • Responsabilidad de los solicitantes sobre las actividades de mantenimiento. • Quién aprobará las versiones que se generen. • La estrategia de puesta en producción de d la nueva versión. g. El mantenimiento de los sistemas, podrá ser asumido por el DTII. No obstante, de requerirse de la intervención de un tercero, el DTII, deberá definir los mecanismos de seguridad necesarios orientados a mantener la confidencialidad de lla a información, su integridad y disponibilidad. h. En caso de que el mantenimiento de sistemas requiera de la intervención de un tercero, el plazo para la conclusión del mismo se extenderá el tiempo necesario para su implementación total. El DTII, deberá informar informar a los grupos interesados las posibles fechas de terminación.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
85
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
i. Todo mantenimiento realizado a los sistemas, deberá ser en ambientes de pruebas. Una vez aprobada la nueva versión, se podrá disponer para producción. CAPÍTULO XII De la Gestión de Proyectos Artículo 88.
Concepción de los Proyectos
a. Todo proyecto del área de Tecnologías de Información, deberán constituir una actividad de cumplimiento del PETIC, del POI y/ o de las Normas Técnicas para la Gestión y Control de las TI. b. El DTII, deberá presentar al órgano rector en materia de TI, los proyectos que deban ser realizados como parte de las actividades de cumplimiento del PETIC, del POI o de cualquier otro orientador de la actuación del DTII en el INCOP. Artículo 89.
Justificación de Proyectos
a. Para todo proyecto, en su justificación, se deberá hacer referencia al Objetivo del POI que se pretende materializar con la ejecución del mismo, a la actividad del PETIC –si fuera el caso-,, o al orientador de la actividad de TI que sustente u origine la necesidad de realizar el proyecto. b. Toda justificación de proyecto, deberá citar los artículos de las Normas Técnicas para la Gestión y Control de las TI que se están cumpliendo con su ejecución.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
86
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Artículo 90.
Aprobación de Proyectos
a. Los proyectos que deba desarrollar el DTII, deberán ser presentados al órgano rector, quien con base a la verificación de la factibilidad, procederá con la aprobación, o en su defecto, a la devolución del proyecto, sea para descartar o para su reformulación. Deberán ser revisados y aprobados por Junta Directiva una vez avalad avalado o por el CGTI. b. El DTII, deberá remitir al órgano rector, un estudio de factibilidad que considere los aspectos técnicos, operativos y económicos que justifiquen su viabilidad o no. c. Para efectos del punto “A”, el interesado de la presentación y ejecución del proyecto deberá definir la siguiente información que será revisada por el órgano rector en la tarea de aprobación del proyecto: Fecha de Presentación del Proyecto, Nombre del Proyecto, Proyecto, Justificación, Posibles Directores de proyecto, Miembros del Equipo de Proyecto, Fecha de Inicio tentativo, Fecha de Terminación Tentativa, Objetivo del Proyecto, Descripción del Producto/ Servicio, Los Posibles Resultados una vez realizada su implementación, entación, Restricciones (Fechas máximas para entrega, aspectos legales, etc.) e Identificación de Grupos Interesados. El órgano rector en materia de TI del INCOP, deberá analizar la información anterior, y proceder con la aprobación o no. Artículo 91.
Formulación de Proyectos
a. Una vez aprobado un proyecto, se deberá proseguir con la formulación del mismo. La formulación de los proyectos, deberán contar con la orientación del órgano rector. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
87
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
b. Para cada proyecto, se deberá definir al menos –pero no se limitará a- la sigui siguiente información: � Alcance y Objetivos. � Estructura de Trabajo (EDT): Actividades, Secuencia, Responsables, Inicio, Fin, Costes, Recursos, Responsables, Productos. � Oficialización de los medios de comunicación para el proyecto. � Actividades de Seguimient Seguimiento. � Gestión de Riesgos. Artículo 92.
Designación del Director de Proyectos
a. Se autoriza al órgano rector de la actividad de tecnologías de información para que designe al director de cada proyecto. b. El órgano rector, podrá suspender de manera temporal o definitiva al director rector de un proyecto. El órgano rector, tendrá la potestad de reincorporarlo en caso de suspensiones o remociones.
c. Toda decisión relativa a la designación de Directores para proyectos, quedará a criterio exclusivo del órgano rector de las tecnologías de información del INCOP.
d. El Director de Proyectos, tendrá la potestad de designar tareas al grupo de trabajo a cargo orientadas a resguardar la calidad del producto/servicio del proyecto, cumplir con el Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
88
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
tiempo previsto y mantener los costos de acuerdo a lo pre estimado. Artículo 93.
Responsabilidades del Director de Proyectos
a. Orientar la ejecución del proyecto de manera que se logren optimizar los recursos, asegurar la calidad y cuidar los tiempos ejecución. b. Liderar la planeación del proyecto y coordinar las interacciones nes con los grupos interesados (stakeholders). c. Motivar en las personas involucradas una actitud comprometida hacia el desarrollo fructuoso del proyecto.
89 d. Es responsable por la evaluación de los riesgos del proyecto y por controlarlos a través de una efec efectiva gestión. e. Remitir los informes oficiales periódicos al órgano rector de las TI, donde informe el avance del proyecto, gestión de la calidad y la ejecución presupuestaria y costes en general, atrasos, inconvenientes, etc. f. Advertir al órgano rector y demás stakeholders, sobre aspectos relevantes que puedan impactar el proyecto en términos de dinero, calidad y tiempo.
g. Recomendar al órgano rector las medidas orientadas asegurar la calidad, el tiempo y el resguardo presupuestario del proyecto.
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
h. Es responsable sable por el resultado del proyecto y la aceptación del producto o servicio por parte de los interesados. Artículo 94. TI
Responsabilidades del Órgano Rector de las
a. Coadyuvar al director de proyectos para que se logren implementar las medidas orientadas asegurar la calidad calidad del proyecto, resguardar los presupuestos y el cumplimiento del cronograma de actividades. b. Otorgar al Director de Proyectos, las autoridades necesarias -propias para cada proyecto- para asumir una adecuada y efectiva dirección. c. Alinear a los empleados del INCOP involucrados en el desarrollo del proyecto con el objetivo de comprometerlos con la ejecución de las actividades. Artículo 95. Responsabilidades de los Miembros del Grupo de Trabajo a. Acatar las disposiciones que el Director de Proyectos defina. nicar al director de proyectos, sobre cualquier b. Comunicar situación que atente contra la calidad del producto/servicio del proyecto, la moderación presupuestaria y el cumplimiento del cronograma de actividades. ri c. Advertir al director de proyectos, sobre cualquier riesgo que pueda impactar la realización efectiva del proyecto. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
90
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
d. Cumplir en tiempo, costo y calidad, las actividades que le sean encomendadas. Los miembros del Grupo de Trabajo conformado para ejecutar el proyecto, deben mantener una actitud comprometida, vi vigilante gilante siempre por el resguardo de los intereses de la realización efectiva de los proyectos. Artículo 96.
Seguimiento de los Proyectos
a. El órgano rector de TI, deberá definir en la etapa de planeamiento del proyecto las medidas de seguimiento para cada proyecto a desarrollarse desarrollarse en el área de Tecnologías de Información. b. El órgano rector de las tecnologías de información, deberá mantener un monitoreo continuo de la ejecución de los proyectos. Deberá verificar la calidad del producto/ servicio desarrollado, la ejecución presupuestaria, presupuestaria, la valoración y gestión de riesgos realizada por el director de proyectos y el cumplimiento efectivo de los cronogramas de actividades.
c. El órgano rector, deberá verificar la gestión hecha por el director de proyectos, con el objetivo de tomar tomar medidas orientas a subsanar posibles debilidades que impacten la ejecución del proyecto.
Artículo 97.
Gestión del Proyecto
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
91
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
a. Los proyectos, deberán ser gestionados aplicando prácticas de control comprobadas por entidades reconocidas en el área de gestión de proyectos. b. El director de proyectos, deberá utilizar una herramienta informática dedicada a la gestión de proyectos, para lo cual, deberá definir al menos: Actividades y su secuencia, inicio y finalización, costes, recursos, responsables, productos e indicación indicación de avance. Así mismo, deberá visualizar una gráfica PERT y la ruta crítica del proyecto.
c. El órgano rector, deberá verificar el cumplimiento de los puntos A y B.
92 Disposiciones Finales
Artículo 98.
Acciones Disciplinarias
Cualquier infracción a este Reglamento, Reglamento, autoriza a la Gerencia General iniciar el respectivo procedimiento sancionatorio contra el funcionario responsable, de acuerdo con lo dispuesto en el Reglamento Autónomo de Servicio del INCOP y el Código de Trabajo o cualquier otra normativa que aplique al respecto. Artículo 99.
Derogaciones
Se deroga El Reglamento Para la Administración y Uso de las Tecnologías de Información de INCOP, aprobadas por Junta Directiva en acuerdo No. 1, Sesión No. 3468 celebrada el 7 de Enero de 2008 y publicada en La Gaceta No. 20 del 29 29 de enero del 2008. Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP
INSTITUTO COSTARRICENSE DE PUERTOS DEL PACIFICO JUNTA DIRECTIVA
Rige a partir de su publicación en el Diario Oficial La Gaceta. * * *
APROBADO POR ACUERDO 12 TOMADO EN SESION NO. 3601 CELEBRADA EL 17 DE NOVIEMBRE DE 2009. OFICIO NO. 194 DE J.D. PUBLICADO EN LA GACETA No. 240 DEL 10 DE DICIEMBRE DE 2009.
93
Reglamento para la Gestión de la Actividad de Tecnologías de Información de INCOP